Mitä tapahtuu TCP-otsikossa, kun sekä SYN- että FIN-liput on asetettu arvoon 1? Vai voidaanko molemmat asettaa jopa samanaikaisesti arvoon 1?
Kommentit
- Irlantilainen vallankumous?
- Hmmm, jonka huomasin kampusverkko tänään, että koska uudet iPhonet ovat tulleet ulos, saamme tulvan TCP-paketteja, joilla on sekä syn- että fin-lippu. Järjestelmällämme on vaikeuksia tunnistaa puhelin / käyttöjärjestelmä, joka on muu kuin " iPhone IOS " ilman versionumeroa. Ehkä uusi päivitys tai uusi puhelin tekee jotain outoa.
- @ThomasNg wow .. anna päivityksiä siitä, mitä kampusverkon järjestelmänvalvojasi tekee näiden laittomien pakettien käsittelemiseksi.
Vastaus
Normaalissa TCP-käyttäytymisessä niitä ei pitäisi koskaan asettaa molemmiksi arvoon 1 (päällä) samassa paketissa. On olemassa monia työkaluja, joiden avulla voit luoda TCP-paketteja , ja tyypillinen vastaus pakettiin, jonka SYN- ja FIN-bittejä on asetettu yhdeksi, on RST, koska rikkovat TCP: n sääntöjä.
Vastaus
Yksi hyökkäystyyppi muinaisina aikoina oli, että jokaiselle lipulle asetettiin 1 Se oli:
- Nonce
- CWR
- ECN-ECHO
- kiireellinen
- ACK
- Push
- RST
- SYN
- FIN
Muutama IP-pinojen käyttöönotto ei onnistunut ” Tarkistin oikein ja kaatui. Sitä kutsuttiin joulukuusi -paketiksi.
Kommentit
- Vaikka tämä on mielenkiintoista tietoa, se ei juuri kosketa vastausta arvoon " voidaan molemmat asettaa arvoon 1 " antamalla esimerkki.
- Se oli tarkoitettu enemmän kommentiksi edelliseen vastaukseen, mutta koska kommentit ovat melko rajallisia muodoltaan, ajattelin, että on parempi tehdä erillinen vastaus er
Vastaus
Vastaus riippuu käyttöjärjestelmän tyypistä. FIN: n kautta).
Menetelmää tällaisten laittomien / epänormaalien lippuyhdistelmien käsittelemiseksi ei esitetä TCP: n RFC: ssä. Joten tällaisia laittomia / epänormaaleja lippuyhdistelmiä käsitellään eri tavoin eri käyttöjärjestelmissä. Eri käyttöjärjestelmät tuottavat myös erilaisia vastauksia tällaisille paketeille.
Tämä on erittäin suuri huolenaihe turvallisuusyhteisölle, koska hyökkääjien on hyödynnettävä näitä vastauspaketteja määrittääkseen kohdejärjestelmän käyttöjärjestelmän tyyppi hyökkäyksen luomiseksi. Joten tällaisia lippuyhdistelmiä pidetään aina haitallisina, ja nykyaikaiset tunkeutumisen havaitsemisjärjestelmät havaitsevat tällaiset yhdistelmät hyökkäysten välttämiseksi.