O que acontece quando os sinalizadores SYN e FIN nos cabeçalhos TCP são definidos como 1?


10

No cabeçalho TCP, o que acontece quando os sinalizadores SYN e FIN são definidos como 1? Ou ambos podem ser definidos simultaneamente para 1?


Uma revolução irlandesa?
bmargulies

Hmmm, eu notei na minha rede de campus hoje que, desde que os novos iPhones foram lançados, estamos recebendo uma enxurrada de pacotes tcp que foram sincronizados com syn e fin. Nosso sistema está tendo problemas para identificar o telefone / SO que não seja o "iPhone IOS" sem um número de versão. Talvez a nova atualização ou o novo telefone esteja fazendo algo estranho.

@ThomasNg wow .. atualize o que o administrador da rede do campus faz para lidar com esses pacotes ilegais.
MAKZ

Respostas:


11

No comportamento normal do TCP, eles nunca devem ser definidos como 1 (ativado) no mesmo pacote. Existem muitas ferramentas que permitem criar pacotes TCP , e a resposta típica a um pacote com os bits SYN e FIN definidos como um é um RST, pois você está violando as regras do TCP.


9

Um tipo de ataque nos tempos antigos era ter todos os sinalizadores definidos como 1. Isso foi:

  • Nonce
  • CWR
  • ECN-ECHO
  • URGENTE
  • ACK
  • Empurrar
  • RST
  • SYN
  • FIN

Algumas implementações de pilhas IP não foram verificadas corretamente e travaram. Foi chamado de pacote de árvore de Natal


Embora seja uma informação interessante, na verdade, apenas toca em uma resposta para "ambos podem ser configurados como 1", fornecendo um exemplo.
YLearn

Foi mais concebido como um comentário à resposta anterior, mas como comentários são bastante limitadas formato-sábio, eu pensei que era melhor para fazer uma resposta em separado
Remi Letourneau

3

A resposta depende do tipo de sistema operacional.

A combinação de sinalizador SYN e FIN que está sendo definida no cabeçalho TCP é ilegal e pertence à categoria de combinação de sinalizador ilegal / anormal porque exige o estabelecimento da conexão (via SYN) e o término da conexão (via FIN).

O método para lidar com essas combinações de sinalizadores ilegais / anormais não é transmitido na RFC do TCP. Portanto, essas combinações de sinalizadores ilegais / anormais são tratadas de maneira diferente em vários sistemas operacionais. Diferentes sistemas operacionais também geram diferentes tipos de respostas para esses pacotes.

Essa é uma grande preocupação para a comunidade de segurança, porque os atacantes devem explorar esses pacotes de resposta para determinar o tipo de SO no sistema de destino para criar seu ataque. Portanto, essas combinações de sinalizadores são sempre tratadas como sistemas maliciosos e modernos de detecção de intrusões detectam essas combinações para evitar ataques.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.