Nellintestazione TCP, cosa succede quando entrambi i flag SYN e FIN sono impostati su 1? Oppure possono essere impostati entrambi contemporaneamente su 1?
Commenti
- Una rivoluzione irlandese?
- Hmmm ho notato sul mio campus network oggi che da quando sono usciti i nuovi iPhone, stiamo ricevendo un flusso di pacchetti tcp che hanno sia syn che fin. Il nostro sistema ha problemi a identificare il telefono / sistema operativo diverso da " iPhone IOS " senza un numero di versione. Forse il nuovo aggiornamento o il nuovo telefono sta facendo qualcosa di strano.
- @ThomasNg wow .. dai aggiornamenti su ciò che fa lamministratore di rete del tuo campus per gestire questi pacchetti illegali.
Risposta
Nel normale comportamento TCP, non dovrebbero mai essere impostati entrambi su 1 (attivo) nello stesso pacchetto. Esistono molti strumenti che consentono di creare pacchetti TCP e la risposta tipica a un pacchetto con i bit SYN e FIN impostati su uno è un RST, poiché stanno violando le regole del TCP.
Risposta
Un tipo di attacco ai vecchi tempi era avere ogni flag impostato su 1 . Era:
- Nonce
- CWR
- ECN-ECHO
- URGENTE
- ACK
- Push
- RST
- SYN
- FIN
Alcune implementazioni di stack IP non funzionavano ” t controllare correttamente e si è arrestato in modo anomalo. Si chiamava Pacchetto albero di Natale
Commenti
- Sebbene questa sia uninformazione interessante, in realtà tocca appena una risposta a " possono essere entrambi impostati su 1 " fornendo un esempio.
- Era più inteso come un commento alla risposta precedente, ma poiché i commenti sono piuttosto limitati dal punto di vista del formato, ho pensato che fosse meglio fare una risposta separata er
Risposta
La risposta dipende dal tipo di sistema operativo.
La combinazione di flag SYN e FIN impostata nellintestazione TCP è illegale e appartiene alla categoria della combinazione di flag illegale / anormale perché richiede sia la creazione della connessione (tramite SYN) che la terminazione della connessione ( tramite FIN).
Il metodo per gestire tali combinazioni di flag illegali / anormali non è trasmesso nella RFC di TCP. Quindi, tali combinazioni di flag illegali / anormali vengono gestite in modo diverso nei vari sistemi operativi. Diversi sistemi operativi generano anche diversi tipi di risposte per tali pacchetti.
Questa è una grande preoccupazione per la comunità della sicurezza perché gli aggressori sfrutteranno questi pacchetti di risposta per determinare il tipo di sistema operativo sul sistema di destinazione per creare il suo attacco. Pertanto, tali combinazioni di flag vengono sempre trattate come dannose e i moderni sistemi di rilevamento delle intrusioni rilevano tali combinazioni per evitare attacchi.