Điều gì xảy ra khi các cờ SYN và FIN trong các tiêu đề TCP đều được đặt thành 1?

10

Trong tiêu đề TCP, điều gì xảy ra khi cả hai cờ SYN và FIN được đặt thành 1? Hoặc, cả hai thậm chí có thể được đặt đồng thời thành 1?

— MAKZ
nguồn

Một cuộc cách mạng irish?

— bmargulies

Hmmm Tôi nhận thấy trên mạng khuôn viên của mình ngày hôm nay rằng vì những chiếc iPhone mới đã xuất hiện, chúng tôi đang nhận được một loạt các gói tcp có cả syn và vây được gắn cờ. Hệ thống của chúng tôi đang gặp sự cố khi xác định điện thoại / os khác với "iPhone IOS" mà không có số phiên bản. Có thể bản cập nhật mới hoặc điện thoại mới đang làm điều gì đó kỳ quặc.

@ThomasNg wow .. cung cấp thông tin cập nhật về những gì quản trị viên mạng của bạn làm để xử lý các gói bất hợp pháp này.

— MAKZ

11

Trong hành vi TCP bình thường, cả hai không bao giờ được đặt thành 1 (bật) trong cùng một gói. Có nhiều công cụ tồn tại cho phép bạn tạo các gói TCP và phản hồi điển hình cho một gói có các bit SYN và FIN được đặt thành một là RST, vì bạn đang vi phạm các quy tắc của TCP.

— Eddie
nguồn

9

Một kiểu tấn công trong thời xa xưa là đặt mọi Cờ thành 1. Đó là:

Nonce
CWR
ECN-ECHO
KHẨN CẤP
ACK
Đẩy
RST
Tổng hợp
CUỐI

Một vài triển khai ngăn xếp IP đã không kiểm tra chính xác và bị hỏng. Nó được gọi là Gói cây Giáng sinh

— Remi Letourneau
nguồn

Mặc dù đây là thông tin thú vị, nhưng nó thực sự chỉ chạm vào câu trả lời là "cả hai có thể được đặt thành 1" bằng cách cung cấp một ví dụ.

— YLearn

Nó được dự định nhiều hơn như là một bình luận cho câu trả lời trước đó, nhưng vì các bình luận khá hạn chế về định dạng, tôi nghĩ tốt hơn là nên làm một câu trả lời riêng

— Remi Letourneau

3

Phản hồi phụ thuộc vào loại Hệ điều hành.

Sự kết hợp của cờ SYN và cờ FIN được đặt trong tiêu đề TCP là bất hợp pháp và nó thuộc về loại kết hợp cờ bất hợp pháp / bất thường vì nó yêu cầu cả việc thiết lập kết nối (thông qua SYN) và chấm dứt kết nối (thông qua FIN).

Phương thức xử lý các kết hợp cờ bất hợp pháp / bất thường như vậy không được chuyển tải trong RFC của TCP. Vì vậy, các kết hợp cờ bất hợp pháp / bất thường như vậy được xử lý khác nhau trong các hệ điều hành khác nhau. Hệ điều hành khác nhau cũng tạo ra các loại phản ứng khác nhau cho các gói như vậy.

Đây là một mối quan tâm rất lớn đối với cộng đồng bảo mật vì những kẻ tấn công sẽ khai thác các gói phản hồi này để xác định loại HĐH trên hệ thống đích để tạo ra cuộc tấn công của hắn. Vì vậy, các tổ hợp cờ như vậy luôn được coi là hệ thống phát hiện xâm nhập độc hại và hiện đại phát hiện các kết hợp đó để tránh các cuộc tấn công.

— Karthik Balaguru
nguồn