Cosa succede quando i flag SYN e FIN nelle intestazioni TCP sono entrambi impostati su 1?

10

Nell'intestazione TCP, cosa succede quando entrambi i flag SYN e FIN sono impostati su 1? Oppure, entrambi possono anche essere impostati contemporaneamente su 1?

— MAKZ
fonte

Una rivoluzione irlandese?

— bmargulies,

Hmmm ho notato oggi sulla mia rete del campus che da quando sono usciti i nuovi iPhone, stiamo ricevendo un'ondata di pacchetti tcp che hanno sia syn che flag. Il nostro sistema sta riscontrando problemi nell'identificare il telefono / SO diverso da "iPhone IOS" senza un numero di versione. Forse il nuovo aggiornamento o il nuovo telefono stanno facendo qualcosa di strano.

@ThomasNg wow .. fornisci aggiornamenti su cosa fa l'amministratore di rete del campus per gestire questi pacchetti illegali.

— MAKZ,

11

Nel normale comportamento TCP, non dovrebbero mai essere entrambi impostati su 1 (attivo) nello stesso pacchetto. Esistono molti strumenti che ti consentono di creare pacchetti TCP e la risposta tipica a un pacchetto con i bit SYN e FIN impostati su uno è un RST, poiché stai violando le regole del TCP.

— Eddie
fonte

9

Un tipo di attacco ai vecchi tempi era che ogni bandiera fosse impostata su 1. Quello era:

nonce
CWR
ECN-ECHO
URGENTE
ACK
Spingere
RST
SYN
FIN

Alcune implementazioni di stack IP non sono state verificate correttamente e si sono arrestate in modo anomalo. Si chiamava pacchetto dell'albero di Natale

— Remi Letourneau
fonte

Sebbene queste siano informazioni interessanti, in realtà tocca appena una risposta a "può essere impostato su 1" fornendo un esempio.

— Impara

Era più inteso come un commento alla risposta precedente, ma poiché i commenti sono piuttosto limitati dal punto di vista del formato, ho pensato che fosse meglio fare una risposta separata

— Remi Letourneau,

3

La risposta dipende dal tipo di sistema operativo.

La combinazione di flag SYN e FIN impostata nell'intestazione TCP è illegale e appartiene alla categoria di combinazione flag illegale / anormale perché richiede sia la creazione della connessione (tramite SYN) sia la chiusura della connessione (tramite FIN).

Il metodo per gestire tali combinazioni di flag illegali / anormali non è indicato nella RFC di TCP. Pertanto, tali combinazioni di flag illegali / anormali vengono gestite in modo diverso nei vari sistemi operativi. Diversi sistemi operativi generano anche diversi tipi di risposte per tali pacchetti.

Questa è una grande preoccupazione per la comunità della sicurezza perché gli aggressori devono sfruttare questi pacchetti di risposta per determinare il tipo di sistema operativo sul sistema di destinazione per creare il suo attacco. Pertanto, tali combinazioni di flag vengono sempre trattate come sistemi di rilevamento delle intrusioni dannosi e moderni che rilevano tali combinazioni per evitare attacchi.

— Karthik Balaguru
fonte