Co se stane, když jsou příznaky SYN a FIN v záhlaví TCP oba nastaveny na 1?

Při normálním chování TCP by nikdy neměly být oba nastaveny na 1 (zapnuto) ve stejném paketu. Existuje mnoho nástrojů, které vám umožňují vytvářet pakety TCP , a typická odpověď na paket s bity SYN a FIN nastavenými na jednu je RST, protože porušují pravidla TCP.

Jedním typem útoku za starých časů bylo, aby byly všechny příznaky nastaveny na 1 To bylo:

• Nonce
• CWR
• ECN-ECHO
• NALÉHAVÉ
• ACK
• Push
• RST
• SYN
• FIN

Několik implementací IP stacků nešlo Zkontrolovat správně a havarovat. Nazýval se paket vánoční stromeček

Komentáře

• I když se jedná o zajímavou informaci, ve skutečnosti se sotva dotkne odpovědi na " lze oba nastavit na 1 " uvedením příkladu.
• Bylo to spíše zamýšleno jako komentář na předchozí odpověď, ale protože komentáře jsou formátově docela omezené, myslel jsem si, že je lepší udělat samostatnou odpověď er

Odpověď závisí na typu operačního systému.

Kombinace příznaku SYN a FIN nastavená v záhlaví TCP je nelegální a patří do kategorie kombinace nelegálních / abnormálních příznaků, protože vyžaduje jak navázání spojení (prostřednictvím SYN), tak ukončení spojení ( přes FIN).

Metoda zpracování takových nelegálních / abnormálních kombinací příznaků není v RFC protokolu TCP přenášena. S takovými kombinacemi nelegálních / abnormálních příznaků se tedy v různých operačních systémech zachází odlišně. Jiný operační systém také generuje různé druhy odpovědí pro takové pakety.

To je pro bezpečnostní komunitu velmi velkým problémem, protože útočníci využijí tyto pakety odpovědí k určení typu OS v cílovém systému k provedení útoku. S takovými kombinacemi příznaků se tedy vždy zachází jako se škodlivými a moderní systémy detekce narušení tyto kombinace detekují, aby se zabránilo útokům.