En el encabezado TCP, ¿qué sucede cuando los indicadores SYN y FIN se establecen en 1? ¿O pueden ambos configurarse simultáneamente en 1?
Comentarios
- ¿Una revolución irlandesa?
- Hmmm, lo noté en mi campus network hoy que desde que salieron los nuevos iPhones, estamos recibiendo una avalancha de paquetes tcp que tienen tanto syn como fin marcados. Nuestro sistema tiene problemas para identificar el teléfono / sistema operativo que no sea " iPhone IOS " sin un número de versión. Tal vez la nueva actualización o el nuevo teléfono esté haciendo algo extraño.
- @ThomasNg wow .. brinde actualizaciones sobre lo que hace el administrador de la red de su campus para manejar estos paquetes ilegales.
Respuesta
En el comportamiento normal de TCP, nunca deben establecerse ambos en 1 (activado) en el mismo paquete. Existen muchas herramientas que te permiten crear paquetes TCP , y la respuesta típica a un paquete con los bits SYN y FIN configurados en uno es un RST, ya que están violando las reglas de TCP.
Respuesta
Un tipo de ataque en los tiempos antiguos era que cada Flags se estableciera en 1 . Eso fue:
- Nonce
- CWR
- ECN-ECHO
- URGENTE
- ACK
- Empuje
- RST
- SYN
- FIN
Algunas implementaciones de pilas de IP no funcionaron » t verificó correctamente y se bloqueó. Se llamaba Paquete de árbol de Navidad
Comentarios
- Si bien esta es información interesante, en realidad apenas toca una respuesta to " se pueden establecer ambos en 1 " proporcionando un ejemplo.
- Pretendía ser más un comentario a la respuesta anterior, pero como los comentarios tienen un formato bastante limitado, pensé que era mejor hacer una respuesta por separado er
Respuesta
La respuesta depende del tipo de sistema operativo.
La combinación de la bandera SYN y FIN que se establece en el encabezado TCP es ilegal y pertenece a la categoría de combinación de bandera ilegal / anormal porque requiere tanto el establecimiento de la conexión (vía SYN) como la terminación de la conexión ( vía FIN).
El método para manejar tales combinaciones de banderas ilegales / anormales no se transmite en el RFC de TCP. Por lo tanto, estas combinaciones de indicadores ilegales / anormales se manejan de manera diferente en varios sistemas operativos. Los diferentes sistemas operativos también generan diferentes tipos de respuestas para dichos paquetes.
Esta es una gran preocupación para la comunidad de seguridad porque los atacantes deben explotar estos paquetes de respuesta para determinar el tipo de sistema operativo en el sistema objetivo para diseñar su ataque. Por lo tanto, estas combinaciones de banderas siempre se tratan como maliciosas y los sistemas modernos de detección de intrusos detectan dichas combinaciones para evitar ataques.