Wat gebeurt er in de TCP-header als zowel SYN- als FIN-vlaggen zijn ingesteld op 1? Of kunnen beide zelfs tegelijkertijd op 1 worden ingesteld?
Reacties
- Een Ierse revolutie?
- Hmmm, ik merkte op mijn campusnetwerk dat sinds de lancering van de nieuwe iPhones, we een stortvloed aan tcp-pakketten krijgen die zowel syn als fin zijn gemarkeerd. Ons systeem heeft problemen met het identificeren van de telefoon / het besturingssysteem anders dan " iPhone IOS " zonder versienummer. Misschien doet de nieuwe update of de nieuwe telefoon iets vreemds.
- @ThomasNg wow .. geef updates over wat je campusnetwerkbeheerder doet om met deze illegale pakketten om te gaan.
Answer
Bij normaal TCP-gedrag mogen ze nooit allebei op 1 (aan) staan in hetzelfde pakket. Er zijn veel tools waarmee u TCP-pakketten kunt maken , en de typische reactie op een pakket met SYN- en FIN-bits ingesteld op één is een RST, aangezien u zijn in strijd met de regels van TCP.
Antwoord
Vroeger was een type aanval dat elke Flags op 1 werd gezet . Dat was:
- Nonce
- CWR
- ECN-ECHO
- DRINGEND
- ACK
- Push
- RST
- SYN
- FIN
Enkele implementaties van IP-stacks deden het niet ” t checken correct en crashte. Het heette een kerstboompakket
Reacties
- Hoewel dit interessante informatie is, raakt het eigenlijk nauwelijks een antwoord aan to " kunnen beide worden ingesteld op 1 " door een voorbeeld te geven.
- Het was meer bedoeld als commentaar naar het vorige antwoord, maar aangezien de opmerkingen qua formaat vrij beperkt zijn, dacht ik dat het beter was om een apart antwoord te geven er
Answer
De respons hangt af van het type besturingssysteem.
De combinatie van SYN- en FIN-vlag die wordt ingesteld in de TCP-header is illegaal en behoort tot de categorie van illegale / abnormale vlagcombinaties omdat het zowel het opzetten van een verbinding (via SYN) als het beëindigen van de verbinding ( via FIN).
De methode om dergelijke illegale / abnormale vlagcombinaties af te handelen, wordt niet overgebracht in de RFC van TCP. Dergelijke illegale / abnormale vlagcombinaties worden dus op verschillende manieren behandeld in verschillende besturingssystemen. Verschillende besturingssystemen genereren ook verschillende soorten reacties voor dergelijke pakketten.
Dit is een zeer grote zorg voor de beveiligingsgemeenschap, omdat aanvallers deze responspakketten zullen misbruiken om het type OS op het doelsysteem te bepalen om zijn aanval op te bouwen. Dergelijke vlagcombinaties worden dus altijd als kwaadwillende behandeld en moderne inbraakdetectiesystemen detecteren dergelijke combinaties om aanvallen te voorkomen.