Was passiert im TCP-Header, wenn sowohl das SYN- als auch das FIN-Flag auf 1 gesetzt sind? Oder können beide sogar gleichzeitig auf 1 gesetzt werden?
Kommentare
- Eine irische Revolution?
- Hmmm, das habe ich auf meinem bemerkt Campus-Netzwerk heute, da die neuen iPhones herauskommen, bekommen wir eine Flut von TCP-Paketen, die sowohl syn als auch fin markiert haben. Unser System hat Probleme beim Identifizieren des Telefons / Betriebssystems außer " iPhone IOS " ohne Versionsnummer. Möglicherweise macht das neue Update oder das neue Telefon etwas Seltsames.
- @ThomasNg wow .. Geben Sie Updates darüber, was Ihr Campus-Netzwerkadministrator tut, um mit diesen illegalen Paketen umzugehen.
Antwort
Bei normalem TCP-Verhalten sollten niemals beide im selben Paket auf 1 (ein) gesetzt werden. Es gibt viele Tools, mit denen Sie TCP-Pakete erstellen können , und die typische Antwort auf ein Paket mit auf eins gesetzten SYN- und FIN-Bits ist ein RST, da Sie verstoßen gegen die Regeln von TCP.
Antwort
Eine Art von Angriff in den alten Tagen bestand darin, alle Flags auf 1 zu setzen Das war:
- Nonce
- CWR
- ECN-ECHO
- DRINGEND
- ACK
- Push
- RST
- SYN
- FIN
Einige Implementierungen von IP-Stacks haben nicht “ t richtig überprüfen und abgestürzt. Es wurde als Weihnachtsbaumpaket bezeichnet.
Kommentare
- Obwohl dies interessante Informationen sind, berührt es kaum eine Antwort to " kann beide anhand eines Beispiels auf 1 " gesetzt werden.
- Es war eher als Kommentar gedacht auf die vorherige Antwort, aber da die Kommentare in Bezug auf das Format ziemlich begrenzt sind, dachte ich, es wäre besser, eine separate Antwort zu geben er
Antwort
Die Antwort hängt vom Typ des Betriebssystems ab.
Die im TCP-Header gesetzte Kombination aus SYN- und FIN-Flag ist unzulässig und gehört zur Kategorie der unzulässigen / abnormalen Flag-Kombination, da sowohl der Verbindungsaufbau (über SYN) als auch die Beendigung der Verbindung ( über FIN).
Die Methode zur Behandlung solcher unzulässigen / abnormalen Flag-Kombinationen wird im RFC von TCP nicht übermittelt. Daher werden solche illegalen / abnormalen Flag-Kombinationen in verschiedenen Betriebssystemen unterschiedlich behandelt. Unterschiedliche Betriebssysteme erzeugen auch unterschiedliche Arten von Antworten für solche Pakete.
Dies ist ein sehr großes Problem für die Sicherheitsgemeinschaft, da Angreifer diese Antwortpakete ausnutzen müssen, um den Typ des Betriebssystems auf dem Zielsystem zu bestimmen, um seinen Angriff auszuführen. Daher werden solche Flaggenkombinationen immer als böswillig behandelt, und moderne Intrusion Detection-Systeme erkennen solche Kombinationen, um Angriffe zu vermeiden.