În antetul TCP, ce se întâmplă când ambele steaguri SYN și FIN sunt setate la 1? Sau, pot fi ambele setate simultan la 1?

Comentarii

  • O revoluție irlandeză?
  • Hmmm am observat pe rețeaua campusului astăzi că, de când au apărut noile iPhone-uri, primim un flux de pachete tcp care au semnalizate atât syn cât și fin. Sistemul nostru întâmpină probleme la identificarea altui / altui telefon decât " iPhone IOS " fără un număr de versiune. Poate că noua actualizare sau noul telefon face ceva ciudat.
  • @ThomasNg wow .. oferă actualizări despre ceea ce face administratorul de rețea al campusului pentru a gestiona aceste pachete ilegale.

Răspuns

În comportamentul TCP normal, acestea nu ar trebui niciodată să fie setate la 1 (activat) în același pachet. Există multe instrumente care vă permit să creați pachete TCP , iar răspunsul tipic la un pachet cu biți SYN și FIN setați la unul este un RST, deoarece încalcă regulile TCP.

Răspuns

Un tip de atac în vremurile de demult a fost ca fiecare Steag să fie setat la 1 . Asta a fost:

  • Nonce
  • CWR
  • ECN-ECHO
  • URGENT
  • ACK
  • Push
  • RST
  • SYN
  • FIN

Câteva implementări de stive IP nu au făcut ” Verificați corect și s-a blocat. A fost numit pachet de pom de Crăciun

Comentarii

  • Deși acestea sunt informații interesante, chiar abia atinge un răspuns la " ambele pot fi setate la 1 " oferind un exemplu.
  • A fost mai mult intenționat ca un comentariu la răspunsul anterior, dar, deoarece comentariile sunt destul de limitate în ceea ce privește formatul, am considerat că este mai bine să fac un răspuns separat er

Răspuns

Răspunsul depinde de tipul sistemului de operare.

Combinația de semnalizare SYN și FIN setată în antetul TCP este ilegală și aparține categoriei de combinații de semnal ilegale / anormale deoarece solicită atât stabilirea conexiunii (prin SYN), cât și încheierea conexiunii ( prin FIN).

Metoda de gestionare a acestor combinații de semnale ilegale / anormale nu este transmisă în RFC-ul TCP. Deci, astfel de combinații de semnale ilegale / anormale sunt tratate diferit în diferite sisteme de operare. Sistem de operare diferit generează, de asemenea, diferite tipuri de răspunsuri pentru astfel de pachete.

Aceasta este o preocupare foarte mare pentru comunitatea de securitate, deoarece atacatorii vor exploata aceste pachete de răspuns pentru a determina tipul de sistem de operare pe sistemul țintă pentru a-și crea atacul. Deci, astfel de combinații de steaguri sunt întotdeauna tratate ca sisteme de detectare a intruziunilor rău intenționate și moderne detectează astfel de combinații pentru a evita atacurile.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *