Vad händer när SYN- och FIN-flaggor i TCP-rubriker båda är inställda på 1?

I normalt TCP-beteende ska de aldrig båda vara inställda på 1 (på) i samma paket. Det finns många verktyg som finns som låter dig skapa TCP-paket , och det typiska svaret på ett paket med SYN- och FIN-bitar inställda på ett är en RST eftersom du bryter mot reglerna för TCP.

En typ av attack i gamla tider var att varje flagg var satt till 1 Det var:

• Nonce
• CWR
• ECN-ECHO
• URGENT
• ACK
• Push
• RST
• SYN
• FIN

Några implementeringar av IP-stackar gjorde inte ” t kolla korrekt och kraschade. Det kallades ett julgranpaket

Kommentarer

• Även om det här är intressant information, berör det verkligen knappt ett svar till " kan båda ställas in på 1 " genom att ge ett exempel.
• Det var mer avsett som en kommentar till det föregående svaret, men eftersom kommentarer är ganska begränsade formatmässigt, tyckte jag att det var bättre att göra ett separat svar er

Svaret beror på typen av operativsystem.

Kombinationen av SYN- och FIN-flaggan som ställs in i TCP-rubriken är olaglig och tillhör kategorin olaglig / onormal flaggkombination eftersom den kräver både upprättande av anslutning (via SYN) och avslutning av anslutning via FIN).

Metoden för att hantera sådana olagliga / onormala flaggkombinationer förmedlas inte i TCP: s RFC. Så olagliga / onormala flaggkombinationer hanteras olika i olika operativsystem. Olika operativsystem genererar också olika typer av svar för sådana paket.

Detta är ett mycket stort bekymmer för säkerhetsgemenskapen eftersom angripare ska utnyttja dessa svarspaket för att bestämma typen av operativsystem på målsystemet för att skapa sin attack. Så sådana flaggkombinationer behandlas alltid som skadliga och moderna system för upptäckt av intrång upptäcker sådana kombinationer för att undvika attacker.