TCPヘッダーで、SYNフラグとFINフラグの両方が1に設定されているとどうなりますか?または、両方を同時に1に設定することもできますか?
コメント
- アイルランド革命?
- うーん、今日のキャンパスネットワークでは、新しいiPhoneが発売されて以来、synとfinの両方にフラグが付けられたtcpパケットが大量に発生しています。システムで、バージョン番号のない" iPhone IOS "以外の電話/ OSの識別に問題があります。新しいアップデートまたは新しい電話が何か奇妙なことをしている可能性があります。
- @ThomasNgうわー..キャンパスネットワーク管理者がこれらの不正なパケットを処理するために行うことについてのアップデートを提供します。
回答
通常のTCP動作では、同じパケットで両方を1(オン)に設定しないでください。 TCPパケットを作成できるツールが多数存在します。SYNビットとFINビットが1に設定されているパケットに対する一般的な応答は、RSTです。 TCPのルールに違反しています。
回答
昔の攻撃の1つのタイプは、すべてのフラグを1に設定することでした。 。それは:
- ノンス
- CWR
- ECN-ECHO
- 緊急
- ACK
- プッシュ
- RST
- SYN
- FIN
IPスタックのいくつかの実装では正しくチェックしてクラッシュしました。これはクリスマスツリーパケットと呼ばれていました
コメント
- これは興味深い情報ですが、実際にはほとんど答えに触れていません。例を示すことで、"の両方を1 "に設定できます。
- コメントとして意図されていました前の答えに、しかしコメントはフォーマットに関してかなり制限されているので、私は別の答えをする方が良いと思いましたer
回答
応答はオペレーティングシステムの種類によって異なります。
TCPヘッダーに設定されているSYNフラグとFINフラグの組み合わせは不正であり、接続の確立(SYN経由)と接続の終了(SYN経由)の両方を要求するため、不正/異常フラグの組み合わせのカテゴリに属します。 FIN経由)。
このような不正/異常なフラグの組み合わせを処理する方法は、TCPのRFCでは伝達されていません。したがって、このような不正/異常フラグの組み合わせは、さまざまなオペレーティングシステムで異なる方法で処理されます。オペレーティングシステムが異なれば、そのようなパケットに対しても異なる種類の応答が生成されます。
これはセキュリティコミュニティにとって非常に大きな懸念事項です。攻撃者はこれらの応答パケットを悪用して、標的システム上のOSの種類を判別し、攻撃を仕掛ける必要があるためです。したがって、このようなフラグの組み合わせは常に悪意のあるものとして扱われ、最新の侵入検知システムは攻撃を回避するためにこのような組み合わせを検出します。