No cabeçalho TCP, o que acontece quando os sinalizadores SYN e FIN são definidos como 1? Ou ambos podem ser definidos simultaneamente para 1?
No cabeçalho TCP, o que acontece quando os sinalizadores SYN e FIN são definidos como 1? Ou ambos podem ser definidos simultaneamente para 1?
Respostas:
No comportamento normal do TCP, eles nunca devem ser definidos como 1 (ativado) no mesmo pacote. Existem muitas ferramentas que permitem criar pacotes TCP , e a resposta típica a um pacote com os bits SYN e FIN definidos como um é um RST, pois você está violando as regras do TCP.
Um tipo de ataque nos tempos antigos era ter todos os sinalizadores definidos como 1. Isso foi:
Algumas implementações de pilhas IP não foram verificadas corretamente e travaram. Foi chamado de pacote de árvore de Natal
A resposta depende do tipo de sistema operacional.
A combinação de sinalizador SYN e FIN que está sendo definida no cabeçalho TCP é ilegal e pertence à categoria de combinação de sinalizador ilegal / anormal porque exige o estabelecimento da conexão (via SYN) e o término da conexão (via FIN).
O método para lidar com essas combinações de sinalizadores ilegais / anormais não é transmitido na RFC do TCP. Portanto, essas combinações de sinalizadores ilegais / anormais são tratadas de maneira diferente em vários sistemas operacionais. Diferentes sistemas operacionais também geram diferentes tipos de respostas para esses pacotes.
Essa é uma grande preocupação para a comunidade de segurança, porque os atacantes devem explorar esses pacotes de resposta para determinar o tipo de SO no sistema de destino para criar seu ataque. Portanto, essas combinações de sinalizadores são sempre tratadas como sistemas maliciosos e modernos de detecção de intrusões detectam essas combinações para evitar ataques.