Что происходит в заголовке TCP, когда флаги SYN и FIN установлены в 1? Или оба могут быть одновременно установлены на 1?
Что происходит в заголовке TCP, когда флаги SYN и FIN установлены в 1? Или оба могут быть одновременно установлены на 1?
Ответы:
При нормальном поведении TCP они никогда не должны быть установлены в 1 (вкл) в одном пакете. Существует множество инструментов, позволяющих создавать TCP-пакеты , и типичным ответом на пакет с битами SYN и FIN, равными единице, является RST, поскольку вы нарушаете правила TCP.
Один тип нападения в старые времена состоял в том, чтобы все флаги были установлены в 1. Это было:
Несколько реализаций IP-стеков не проверялись правильно и зависали. Это называлось Рождественская елка
Ответ зависит от типа операционной системы.
Комбинация флага SYN и FIN, устанавливаемого в заголовке TCP, является недопустимой и относится к категории комбинации недопустимого / ненормального флага, поскольку она требует как установления соединения (через SYN), так и прекращения соединения (через FIN).
Способ обработки таких недопустимых / аномальных комбинаций флагов не передается в RFC TCP. Таким образом, такие недопустимые / ненормальные комбинации флагов обрабатываются по-разному в разных операционных системах. Различные операционные системы также генерируют разные типы ответов для таких пакетов.
Это очень большая проблема для сообщества безопасности, потому что злоумышленники должны использовать эти ответные пакеты, чтобы определить тип операционной системы в целевой системе для создания своей атаки. Таким образом, такие комбинации флагов всегда рассматриваются как вредоносные, и современные системы обнаружения вторжений обнаруживают такие комбинации, чтобы избежать атак.