A TCP fejlécében mi történik, ha a SYN és a FIN jelölést egyaránt 1-re állítják? Vagy akár mindkettő egyszerre beállítható 1-re?
Megjegyzések
- Ír forradalom?
- Hmmm campus hálózat ma, hogy amióta megjelentek az új iPhone-ok, rengeteg tcp csomagot kapunk, amelyek mind syn, mind fin megjelöléssel rendelkeznek. Rendszerünknek gondjai vannak a telefon / os azonosításával, kivéve az " iPhone IOS-t verziószám nélkül. Lehet, hogy az új frissítés vagy az új telefon valami furcsát csinál.
- @ThomasNg wow .. adjon friss információkat arról, hogy a campus hálózati rendszergazdája mit csinál az illegális csomagok kezelése érdekében.
Válasz
Normál TCP viselkedés esetén soha nem szabad mindkettőt 1-re (be) állítani ugyanabban a csomagban. sok olyan eszköz létezik, amely lehetővé teszi a TCP-csomagok készítését , és a tipikus válasz egy olyan csomagra, amelynek SYN és FIN bitjei egyre vannak állítva, RST, mivel Ön megsértik a TCP szabályait.
Válasz
A régi idők egyik támadásának az volt, hogy minden zászlót 1-re állítottak. Ez a következő volt:
- Nonce
- CWR
- ECN-ECHO
- SÜRGŐS
- ACK
- Nyomja meg
- RST
- SYN
- FIN
Néhány IP-halmaz megvalósítása nem sikerült ” t ellenőrizni és összeomlott. Karácsonyfa csomagnak hívták.
Megjegyzések
- Bár érdekes információ, valójában csak alig érinti a választ a " értékre példát adva egyaránt beállítható 1 ".
- Inkább kommentként szánták. az előző válaszra, de mivel a megjegyzések formátum szerint meglehetősen korlátozottak, jobbnak láttam külön választ adni er
Válasz
A válasz az operációs rendszer típusától függ.
A TCP fejlécben beállított SYN és FIN jelző kombinációja illegális, és az illegális / rendellenes jelzőkombináció kategóriájába tartozik, mivel mind a kapcsolat létrehozását (SYN-en keresztül), mind a kapcsolat megszüntetését kéri ( FIN-n keresztül).
Az ilyen illegális / rendellenes jelzőkombinációk kezelésének módszerét a TCP RFC-je nem közvetíti. Tehát az ilyen illegális / rendellenes jelzőkombinációkat a különböző operációs rendszerek különböző módon kezelik. A különböző operációs rendszerek különböző típusú válaszokat is generálnak az ilyen csomagokra.
Ez nagyon nagy aggodalomra ad okot a biztonsági közösség számára, mert a támadók ezeket a válaszcsomagokat kihasználva határozzák meg a célrendszer operációs rendszerének típusát a támadás kialakításához. Tehát az ilyen jelzőkombinációkat mindig rosszindulatúként kezelik, és a modern behatolás-észlelő rendszerek észlelik az ilyen kombinációkat a támadások elkerülése érdekében.