No cabeçalho TCP, o que acontece quando os sinalizadores SYN e FIN são definidos como 1? Ou ambos podem ser definidos simultaneamente para 1?
Comentários
- Uma revolução irlandesa?
- Hmmm, percebi no meu rede do campus hoje que, desde que os novos iPhones foram lançados, estamos recebendo uma enxurrada de pacotes tcp com syn e fin sinalizados. Nosso sistema está tendo problemas para identificar o telefone / sistema operacional diferente do " iPhone IOS " sem um número de versão. Talvez a nova atualização ou o novo telefone esteja fazendo algo estranho.
- @ThomasNg uau .. dê atualizações sobre o que o administrador da rede do campus faz para lidar com esses pacotes ilegais.
Resposta
No comportamento normal do TCP, eles nunca devem ser definidos como 1 (ativado) no mesmo pacote. Existem muitas ferramentas que permitem criar pacotes TCP , e a resposta típica a um pacote com bits SYN e FIN definidos para um é um RST, já que você estão violando as regras do TCP.
Resposta
Um tipo de ataque antigamente era ter todos os sinalizadores definidos como 1 . Isso era:
- Nonce
- CWR
- ECN-ECHO
- URGENTE
- ACK
- Push
- RST
- SYN
- FIN
Algumas implementações de pilhas de IP não ” verifiquei corretamente e travou. Era chamado de Pacote de Árvore de Natal
Comentários
- Embora esta seja uma informação interessante, na verdade mal chega a uma resposta para " pode ser definido como 1 " fornecendo um exemplo.
- Foi mais pretendido como um comentário à resposta anterior, mas como os comentários são muito limitados em termos de formato, achei melhor responder separadamente er
Resposta
A resposta depende do tipo de sistema operacional.
A combinação de SYN e sinalizador FIN sendo definido no cabeçalho TCP é ilegal e pertence à categoria de combinação de sinalizador ilegal / anormal porque exige o estabelecimento da conexão (via SYN) e o encerramento da conexão ( via FIN).
O método para lidar com tais combinações de sinalizadores ilegais / anormais não é transmitido no RFC do TCP. Portanto, essas combinações de sinalizadores ilegais / anormais são tratadas de maneira diferente em vários sistemas operacionais. Diferentes sistemas operacionais também geram diferentes tipos de respostas para esses pacotes.
Esta é uma grande preocupação para a comunidade de segurança porque os invasores devem explorar esses pacotes de resposta para determinar o tipo de sistema operacional no sistema de destino para criar seu ataque. Portanto, essas combinações de sinalizadores são sempre tratadas como maliciosas e os sistemas modernos de detecção de intrusão detectam essas combinações para evitar ataques.