Ce se întâmplă când semnalizatoarele SYN și FIN din anteturile TCP sunt setate la 1?

În comportamentul TCP normal, acestea nu ar trebui niciodată să fie setate la 1 (activat) în același pachet. Există multe instrumente care vă permit să creați pachete TCP , iar răspunsul tipic la un pachet cu biți SYN și FIN setați la unul este un RST, deoarece încalcă regulile TCP.

Un tip de atac în vremurile de demult a fost ca fiecare Steag să fie setat la 1 . Asta a fost:

• Nonce
• CWR
• ECN-ECHO
• URGENT
• ACK
• Push
• RST
• SYN
• FIN

Câteva implementări de stive IP nu au făcut ” Verificați corect și s-a blocat. A fost numit pachet de pom de Crăciun

Comentarii

• Deși acestea sunt informații interesante, chiar abia atinge un răspuns la " ambele pot fi setate la 1 " oferind un exemplu.
• A fost mai mult intenționat ca un comentariu la răspunsul anterior, dar, deoarece comentariile sunt destul de limitate în ceea ce privește formatul, am considerat că este mai bine să fac un răspuns separat er

Răspunsul depinde de tipul sistemului de operare.

Combinația de semnalizare SYN și FIN setată în antetul TCP este ilegală și aparține categoriei de combinații de semnal ilegale / anormale deoarece solicită atât stabilirea conexiunii (prin SYN), cât și încheierea conexiunii ( prin FIN).

Metoda de gestionare a acestor combinații de semnale ilegale / anormale nu este transmisă în RFC-ul TCP. Deci, astfel de combinații de semnale ilegale / anormale sunt tratate diferit în diferite sisteme de operare. Sistem de operare diferit generează, de asemenea, diferite tipuri de răspunsuri pentru astfel de pachete.

Aceasta este o preocupare foarte mare pentru comunitatea de securitate, deoarece atacatorii vor exploata aceste pachete de răspuns pentru a determina tipul de sistem de operare pe sistemul țintă pentru a-și crea atacul. Deci, astfel de combinații de steaguri sunt întotdeauna tratate ca sisteme de detectare a intruziunilor rău intenționate și moderne detectează astfel de combinații pentru a evita atacurile.