Dans len-tête TCP, que se passe-t-il lorsque les indicateurs SYN et FIN sont mis à 1? Ou peut-on même définir les deux simultanément sur 1?
Commentaires
- Une révolution irlandaise?
- Hmmm jai remarqué sur mon réseau du campus aujourdhui que depuis la sortie des nouveaux iPhones, nous recevons un flot de paquets TCP qui ont à la fois syn et fin. Notre système ne parvient pas à identifier le téléphone / système dexploitation autre que " iPhone IOS " sans numéro de version. Peut-être que la nouvelle mise à jour ou le nouveau téléphone fait quelque chose détrange.
- @ThomasNg wow .. informez-vous sur ce que fait ladministrateur réseau de votre campus pour gérer ces paquets illégaux.
Réponse
Dans un comportement TCP normal, ils ne devraient jamais être tous les deux mis à 1 (activé) dans le même paquet. Il existe de nombreux outils qui vous permettent de créer des paquets TCP , et la réponse typique à un paquet avec les bits SYN et FIN mis à un est un RST, car vous enfreignent les règles de TCP.
Réponse
Un type dattaque dans les temps anciens consistait à avoir tous les Flags mis à 1 . Cétait:
- Nonce
- CWR
- ECN-ECHO
- URGENT
- ACK
- Push
- RST
- SYN
- FIN
Quelques implémentations de piles IP didn » t vérifié correctement et sest écrasé. Cela sappelait un paquet de sapin de Noël
Commentaires
- Bien que ce soit une information intéressante, elle touche à peine à une réponse à " peuvent tous deux être définis sur 1 " en fournissant un exemple.
- Cétait plutôt un commentaire à la réponse précédente, mais comme les commentaires sont assez limités en termes de format, jai pensé quil valait mieux faire une réponse séparée euh
Réponse
La réponse dépend du type de système dexploitation.
La combinaison des indicateurs SYN et FIN définis dans len-tête TCP est illégale et appartient à la catégorie des combinaisons dindicateurs illégaux / anormaux car elle appelle à la fois létablissement de la connexion (via SYN) et la fin de la connexion ( via FIN).
La méthode pour gérer ces combinaisons dindicateurs illégales / anormales nest pas véhiculée dans la RFC de TCP. Ainsi, ces combinaisons dindicateurs illégales / anormales sont gérées différemment dans divers systèmes dexploitation. Différents systèmes dexploitation génèrent également différents types de réponses pour ces paquets.
Cest une très grande préoccupation pour la communauté de sécurité car les attaquants doivent exploiter ces paquets de réponse pour déterminer le type de système dexploitation sur le système cible pour fabriquer son attaque. Ainsi, ces combinaisons dindicateurs sont toujours traitées comme des systèmes de détection dintrusions malveillants et modernes détectent ces combinaisons pour éviter les attaques.