I TCP-header, hvad sker der, når både SYN- og FIN-flag er indstillet til 1? Eller kan begge endda indstilles samtidigt til 1?
Kommentarer
- En irsk revolution?
- Hmmm bemærkede jeg på min campus-netværk i dag, at siden de nye iPhones er kommet ud, får vi en strøm af tcp-pakker, der har både syn og fin flag. Vores system har problemer med at identificere telefonen / os andre end " iPhone IOS " uden et versionsnummer. Måske gør den nye opdatering eller den nye telefon noget mærkeligt.
- @ThomasNg wow .. Giv opdateringer om, hvad din campusnetværksadministrator gør for at håndtere disse ulovlige pakker.
Svar
I normal TCP-opførsel skal de aldrig begge sættes til 1 (til) i samme pakke. Der er mange værktøjer, der findes, der giver dig mulighed for at oprette TCP-pakker , og det typiske svar på en pakke med SYN- og FIN-bits indstillet til en er en RST, da du overtræder reglerne for TCP.
Svar
En type angreb i gamle dage var at have alle flag sat til 1 Det var:
- Nonce
- CWR
- ECN-ECHO
- URGENT
- ACK
- Push
- RST
- SYN
- FIN
Et par implementeringer af IP-stakke gjorde ikke ” t tjekke korrekt og styrtede ned. Det blev kaldt en juletræspakke
Kommentarer
- Selvom dette er interessant information, berører det virkelig næsten ikke et svar til " kan begge indstilles til 1 " ved at give et eksempel.
- Det var mere beregnet som en kommentar til det forrige svar, men da kommentarer er ret begrænsede formatmæssigt, syntes jeg det var bedre at lave et separat svar er
Svar
Svaret afhænger af typen af operativsystem.
Kombinationen af SYN- og FIN-flag, der indstilles i TCP-header, er ulovlig, og det hører til kategorien illegal / unormal flagkombination, fordi det kræver både oprettelse af forbindelse (via SYN) og afslutning af forbindelse ( via FIN).
Metoden til at håndtere sådanne ulovlige / unormale flagkombinationer formidles ikke i TCPs RFC. Så sådanne ulovlige / unormale flagkombinationer håndteres forskelligt i forskellige operativsystemer. Forskellige operativsystemer genererer også forskellige slags svar for sådanne pakker.
Dette er en meget stor bekymring for sikkerhedsfællesskabet, fordi angribere skal udnytte disse svarpakker til at bestemme typen af OS på målsystemet til at udforme sit angreb. Sådanne flagkombinationer behandles altid som ondsindede, og moderne indbrudssøgningssystemer opdager sådanne kombinationer for at undgå angreb.