Co się dzieje w nagłówku TCP, gdy obie flagi SYN i FIN są ustawione na 1? A może oba mogą być jednocześnie ustawione na 1?
Komentarze
- Irlandzka rewolucja?
- Hmmm zauważyłem na moim sieć kampusowa, że odkąd pojawiły się nowe iPhoney, otrzymujemy zalew pakietów TCP, które mają oflagowane zarówno syn, jak i fin. Nasz system ma problem ze zidentyfikowaniem telefonu / systemu operacyjnego innego niż " iPhone IOS " bez numeru wersji. Może nowa aktualizacja lub nowy telefon robi coś dziwnego.
- @ThomasNg wow .. podawaj aktualizacje tego, co administrator sieci kampusu robi, aby obsłużyć te nielegalne pakiety.
Odpowiedź
W normalnym zachowaniu TCP oba te elementy nigdy nie powinny być ustawione na 1 (włączone) w tym samym pakiecie. Istnieje wiele istniejących narzędzi, które umożliwiają tworzenie pakietów TCP , a typową odpowiedzią na pakiet z bitami SYN i FIN ustawionymi na jeden jest RST, ponieważ naruszają zasady TCP.
Odpowiedź
W dawnych czasach jeden typ ataku polegał na ustawieniu wszystkich flag na 1 . To było:
- Nonce
- CWR
- ECN-ECHO
- PILNE
- ACK
- Push
- RST
- SYN
- FIN
Kilka implementacji stosów IP nie ” t sprawdź poprawnie i uległ awarii. Nazywało się to pakietem choinki
Komentarze
- Chociaż jest to interesująca informacja, tak naprawdę ledwo dotyka odpowiedzi na " można ustawić na 1 ", podając przykład.
- Bardziej zamierzone jako komentarz do poprzedniej odpowiedzi, ale ponieważ komentarze są dość ograniczone pod względem formatu, pomyślałem, że lepiej będzie zrobić osobną odpowiedź er
Odpowiedź
Odpowiedź zależy od typu systemu operacyjnego.
Kombinacja flagi SYN i FIN ustawiona w nagłówku TCP jest niedozwolona i należy do kategorii niedozwolonych / nienormalnych kombinacji flag, ponieważ wymaga zarówno ustanowienia połączenia (przez SYN), jak i zakończenia połączenia ( przez FIN).
Metoda obsługi takich niedozwolonych / nienormalnych kombinacji flag nie jest przekazywana w specyfikacji RFC protokołu TCP. Tak więc takie nielegalne / nieprawidłowe kombinacje flag są obsługiwane w różny sposób w różnych systemach operacyjnych. Różne systemy operacyjne również generują różnego rodzaju odpowiedzi na takie pakiety.
Jest to bardzo poważny problem dla społeczności zajmującej się bezpieczeństwem, ponieważ atakujący powinni wykorzystać te pakiety odpowiedzi do określenia typu systemu operacyjnego w docelowym systemie, aby przeprowadzić atak. Dlatego takie kombinacje flag są zawsze traktowane jako złośliwe, a nowoczesne systemy wykrywania włamań wykrywają takie kombinacje, aby uniknąć ataków.