Hva skjer når SYN- og FIN-flagg i TCP-overskrifter begge er satt til 1?

I normal TCP-oppførsel skal de aldri begge settes til 1 (på) i samme pakke. Det er mange verktøy som finnes som lar deg lage TCP-pakker , og det typiske svaret på en pakke med SYN- og FIN-bits satt til en er en RST, siden du bryter reglene for TCP.

En type angrep i gamle dager var å ha hvert flagg satt til 1 . Det var:

• Nonce
• CWR
• ECN-ECHO
• DRINGENDE
• ACK
• Push
• RST
• SYN
• FIN

Noen få implementeringer av IP-stabler gjorde ikke » t sjekk riktig og krasjet. Det ble kalt en juletrepakke

Kommentarer

• Selv om dette er interessant informasjon, berører det egentlig bare et svar til " kan begge settes til 1 " ved å gi et eksempel.
• Det var mer ment som en kommentar til det forrige svaret, men da kommentarene er ganske begrenset formatmessig, syntes jeg det var bedre å gjøre et eget svar er

Svaret avhenger av typen operativsystem.

Kombinasjonen av SYN- og FIN-flagg som settes i TCP-overskrift er ulovlig, og den tilhører kategorien ulovlig / unormal flaggkombinasjon fordi den krever både etablering av forbindelse (via SYN) og avslutning av forbindelse ( via FIN).

Metoden for å håndtere slike ulovlige / unormale flaggkombinasjoner formidles ikke i TCPs RFC. Så, slike ulovlige / unormale flaggkombinasjoner håndteres forskjellig i forskjellige operativsystemer. Ulike operativsystemer genererer også forskjellige typer svar for slike pakker.

Dette er en veldig stor bekymring for sikkerhetsfellesskapet fordi angripere skal utnytte disse svarpakkene for å bestemme typen OS på målsystemet for å lage angrepet. Så, slike flaggkombinasjoner blir alltid behandlet som ondsinnede og moderne innbruddsdeteksjonssystemer oppdager slike kombinasjoner for å unngå angrep.