Điều gì xảy ra khi các cờ SYN và FIN trong các tiêu đề TCP đều được đặt thành 1?


10

Trong tiêu đề TCP, điều gì xảy ra khi cả hai cờ SYN và FIN được đặt thành 1? Hoặc, cả hai thậm chí có thể được đặt đồng thời thành 1?


Một cuộc cách mạng irish?
bmargulies

Hmmm Tôi nhận thấy trên mạng khuôn viên của mình ngày hôm nay rằng vì những chiếc iPhone mới đã xuất hiện, chúng tôi đang nhận được một loạt các gói tcp có cả syn và vây được gắn cờ. Hệ thống của chúng tôi đang gặp sự cố khi xác định điện thoại / os khác với "iPhone IOS" mà không có số phiên bản. Có thể bản cập nhật mới hoặc điện thoại mới đang làm điều gì đó kỳ quặc.

@ThomasNg wow .. cung cấp thông tin cập nhật về những gì quản trị viên mạng của bạn làm để xử lý các gói bất hợp pháp này.
MAKZ

Câu trả lời:



9

Một kiểu tấn công trong thời xa xưa là đặt mọi Cờ thành 1. Đó là:

  • Nonce
  • CWR
  • ECN-ECHO
  • KHẨN CẤP
  • ACK
  • Đẩy
  • RST
  • Tổng hợp
  • CUỐI

Một vài triển khai ngăn xếp IP đã không kiểm tra chính xác và bị hỏng. Nó được gọi là Gói cây Giáng sinh


Mặc dù đây là thông tin thú vị, nhưng nó thực sự chỉ chạm vào câu trả lời là "cả hai có thể được đặt thành 1" bằng cách cung cấp một ví dụ.
YLearn

Nó được dự định nhiều hơn như là một bình luận cho câu trả lời trước đó, nhưng vì các bình luận khá hạn chế về định dạng, tôi nghĩ tốt hơn là nên làm một câu trả lời riêng
Remi Letourneau

3

Phản hồi phụ thuộc vào loại Hệ điều hành.

Sự kết hợp của cờ SYN và cờ FIN được đặt trong tiêu đề TCP là bất hợp pháp và nó thuộc về loại kết hợp cờ bất hợp pháp / bất thường vì nó yêu cầu cả việc thiết lập kết nối (thông qua SYN) và chấm dứt kết nối (thông qua FIN).

Phương thức xử lý các kết hợp cờ bất hợp pháp / bất thường như vậy không được chuyển tải trong RFC của TCP. Vì vậy, các kết hợp cờ bất hợp pháp / bất thường như vậy được xử lý khác nhau trong các hệ điều hành khác nhau. Hệ điều hành khác nhau cũng tạo ra các loại phản ứng khác nhau cho các gói như vậy.

Đây là một mối quan tâm rất lớn đối với cộng đồng bảo mật vì những kẻ tấn công sẽ khai thác các gói phản hồi này để xác định loại HĐH trên hệ thống đích để tạo ra cuộc tấn công của hắn. Vì vậy, các tổ hợp cờ như vậy luôn được coi là hệ thống phát hiện xâm nhập độc hại và hiện đại phát hiện các kết hợp đó để tránh các cuộc tấn công.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.