Що в заголовку TCP, що відбувається, коли прапорці SYN та FIN встановлені на 1? Або може бути одночасно встановлено значення 1?
Що в заголовку TCP, що відбувається, коли прапорці SYN та FIN встановлені на 1? Або може бути одночасно встановлено значення 1?
Відповіді:
У звичайній поведінці TCP вони ніколи не повинні бути встановлені 1 (увімкнено) в одному пакеті. Існує безліч інструментів, які дозволяють створювати пакети TCP , і типова відповідь на пакет з бітами SYN та FIN, встановленими на один, є RST, оскільки ви порушуєте правила TCP.
Одним з типів нападу за старих часів було встановлення всіх прапорів на 1. Це було:
Кілька реалізацій стеків IP не перевірили належним чином і вийшли з ладу. Його називали пакетом ялинки
Відповідь залежить від типу операційної системи.
Поєднання прапора SYN та FIN, встановлене в заголовку TCP, є незаконним і відноситься до категорії незаконних / ненормальних комбінацій прапор, оскільки воно вимагає як встановлення з'єднання (через SYN), так і припинення з'єднання (через FIN).
Спосіб обробки таких незаконних / ненормальних комбінацій прапорів не передається в RFC TCP. Таким чином, такі незаконні / ненормальні комбінації прапорів обробляються по-різному в різних операційних системах. Різні операційні системи також генерують відповіді різного типу для таких пакетів.
Це викликає велике занепокоєння для спільноти безпеки, оскільки зловмисники повинні використовувати ці пакети відповідей, щоб визначити тип ОС в цільовій системі, щоб здійснити свою атаку. Отже, такі комбінації прапорів завжди трактуються як шкідливі, а сучасні системи виявлення вторгнень виявляють такі комбінації, щоб уникнути атак.