I TCP-rubrik, vad händer när både SYN- och FIN-flaggorna är inställda på 1? Eller kan båda till och med ställas in samtidigt på 1?
Kommentarer
- En irländsk revolution?
- Hmmm jag märkte på min campus nätverk idag att sedan de nya iPhones har kommit ut, får vi en flod av TCP-paket som har både syn och fin flaggad. Vårt system har problem med att identifiera telefonen / andra operativsystem än " iPhone IOS " utan ett versionsnummer. Kanske den nya uppdateringen eller den nya telefonen gör något udda.
- @ThomasNg wow .. ge uppdateringar om vad din campusnätverksadministratör gör för att hantera dessa olagliga paket.
Svar
I normalt TCP-beteende ska de aldrig båda vara inställda på 1 (på) i samma paket. Det finns många verktyg som finns som låter dig skapa TCP-paket , och det typiska svaret på ett paket med SYN- och FIN-bitar inställda på ett är en RST eftersom du bryter mot reglerna för TCP.
Svar
En typ av attack i gamla tider var att varje flagg var satt till 1 Det var:
- Nonce
- CWR
- ECN-ECHO
- URGENT
- ACK
- Push
- RST
- SYN
- FIN
Några implementeringar av IP-stackar gjorde inte ” t kolla korrekt och kraschade. Det kallades ett julgranpaket
Kommentarer
- Även om det här är intressant information, berör det verkligen knappt ett svar till " kan båda ställas in på 1 " genom att ge ett exempel.
- Det var mer avsett som en kommentar till det föregående svaret, men eftersom kommentarer är ganska begränsade formatmässigt, tyckte jag att det var bättre att göra ett separat svar er
Svar
Svaret beror på typen av operativsystem.
Kombinationen av SYN- och FIN-flaggan som ställs in i TCP-rubriken är olaglig och tillhör kategorin olaglig / onormal flaggkombination eftersom den kräver både upprättande av anslutning (via SYN) och avslutning av anslutning via FIN).
Metoden för att hantera sådana olagliga / onormala flaggkombinationer förmedlas inte i TCP: s RFC. Så olagliga / onormala flaggkombinationer hanteras olika i olika operativsystem. Olika operativsystem genererar också olika typer av svar för sådana paket.
Detta är ett mycket stort bekymmer för säkerhetsgemenskapen eftersom angripare ska utnyttja dessa svarspaket för att bestämma typen av operativsystem på målsystemet för att skapa sin attack. Så sådana flaggkombinationer behandlas alltid som skadliga och moderna system för upptäckt av intrång upptäcker sådana kombinationer för att undvika attacker.