Co się dzieje, gdy flagi SYN i FIN w nagłówkach TCP mają wartość 1?

W normalnym zachowaniu TCP oba te elementy nigdy nie powinny być ustawione na 1 (włączone) w tym samym pakiecie. Istnieje wiele istniejących narzędzi, które umożliwiają tworzenie pakietów TCP , a typową odpowiedzią na pakiet z bitami SYN i FIN ustawionymi na jeden jest RST, ponieważ naruszają zasady TCP.

W dawnych czasach jeden typ ataku polegał na ustawieniu wszystkich flag na 1 . To było:

• Nonce
• CWR
• ECN-ECHO
• PILNE
• ACK
• Push
• RST
• SYN
• FIN

Kilka implementacji stosów IP nie ” t sprawdź poprawnie i uległ awarii. Nazywało się to pakietem choinki

Komentarze

• Chociaż jest to interesująca informacja, tak naprawdę ledwo dotyka odpowiedzi na " można ustawić na 1 ", podając przykład.
• Bardziej zamierzone jako komentarz do poprzedniej odpowiedzi, ale ponieważ komentarze są dość ograniczone pod względem formatu, pomyślałem, że lepiej będzie zrobić osobną odpowiedź er

Odpowiedź zależy od typu systemu operacyjnego.

Kombinacja flagi SYN i FIN ustawiona w nagłówku TCP jest niedozwolona i należy do kategorii niedozwolonych / nienormalnych kombinacji flag, ponieważ wymaga zarówno ustanowienia połączenia (przez SYN), jak i zakończenia połączenia ( przez FIN).

Metoda obsługi takich niedozwolonych / nienormalnych kombinacji flag nie jest przekazywana w specyfikacji RFC protokołu TCP. Tak więc takie nielegalne / nieprawidłowe kombinacje flag są obsługiwane w różny sposób w różnych systemach operacyjnych. Różne systemy operacyjne również generują różnego rodzaju odpowiedzi na takie pakiety.

Jest to bardzo poważny problem dla społeczności zajmującej się bezpieczeństwem, ponieważ atakujący powinni wykorzystać te pakiety odpowiedzi do określenia typu systemu operacyjnego w docelowym systemie, aby przeprowadzić atak. Dlatego takie kombinacje flag są zawsze traktowane jako złośliwe, a nowoczesne systemy wykrywania włamań wykrywają takie kombinacje, aby uniknąć ataków.