Що відбувається, коли прапорці SYN та FIN у заголовках TCP встановлені на 1?


10

Що в заголовку TCP, що відбувається, коли прапорці SYN та FIN встановлені на 1? Або може бути одночасно встановлено значення 1?


Ірландська революція?
bmargulies

Хммм, я сьогодні помітив у своїй мережі кампусу, що з моменту виходу нових айфонів ми отримуємо затоплення пакетів tcp, на яких позначено як syn, так і fin. У нашій системі виникають проблеми з ідентифікацією телефону / ОС, окрім "iPhone IOS" без номера версії. Можливо, нове оновлення або новий телефон чимось дивним.

@ThomasNg wow .. оновлюйте інформацію про те, що робить ваш адміністратор мережі для обробки цих незаконних пакетів.
МАКЗ

Відповіді:


11

У звичайній поведінці TCP вони ніколи не повинні бути встановлені 1 (увімкнено) в одному пакеті. Існує безліч інструментів, які дозволяють створювати пакети TCP , і типова відповідь на пакет з бітами SYN та FIN, встановленими на один, є RST, оскільки ви порушуєте правила TCP.


9

Одним з типів нападу за старих часів було встановлення всіх прапорів на 1. Це було:

  • Нонсе
  • CWR
  • ECN-ECHO
  • НЕОБХІДНО
  • ACK
  • Штовхати
  • RST
  • SYN
  • FIN

Кілька реалізацій стеків IP не перевірили належним чином і вийшли з ладу. Його називали пакетом ялинки


Хоча це цікава інформація, вона насправді ледь не торкається відповіді на те, "як можна встановити 1", подаючи приклад.
YLearn

Він був скоріше зауважений як коментар до попередньої відповіді, але оскільки коментарі є досить обмеженими у форматі, я подумав, що краще зробити окрему відповідь
Ремі Летурно

3

Відповідь залежить від типу операційної системи.

Поєднання прапора SYN та FIN, встановлене в заголовку TCP, є незаконним і відноситься до категорії незаконних / ненормальних комбінацій прапор, оскільки воно вимагає як встановлення з'єднання (через SYN), так і припинення з'єднання (через FIN).

Спосіб обробки таких незаконних / ненормальних комбінацій прапорів не передається в RFC TCP. Таким чином, такі незаконні / ненормальні комбінації прапорів обробляються по-різному в різних операційних системах. Різні операційні системи також генерують відповіді різного типу для таких пакетів.

Це викликає велике занепокоєння для спільноти безпеки, оскільки зловмисники повинні використовувати ці пакети відповідей, щоб визначити тип ОС в цільовій системі, щоб здійснити свою атаку. Отже, такі комбінації прапорів завжди трактуються як шкідливі, а сучасні системи виявлення вторгнень виявляють такі комбінації, щоб уникнути атак.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.