Что происходит, когда флаги SYN и FIN в заголовках TCP установлены в 1?

10

Что происходит в заголовке TCP, когда флаги SYN и FIN установлены в 1? Или оба могут быть одновременно установлены на 1?

MAKZ
источник
Ирландская революция?
bmargulies
Хммм. Сегодня я заметил в своей сети кампуса, что с появлением новых айфонов мы получаем поток tcp-пакетов, помеченных как syn, так и fin. Наша система не может идентифицировать телефон / операционную систему, кроме «iPhone IOS» без номера версии. Возможно новое обновление или новый телефон делают что-то странное.
@ThomasNg вау .. дайте обновления о том, что администратор сети вашего кампуса делает для обработки этих незаконных пакетов.
MAKZ

Ответы:

11

При нормальном поведении TCP они никогда не должны быть установлены в 1 (вкл) в одном пакете. Существует множество инструментов, позволяющих создавать TCP-пакеты , и типичным ответом на пакет с битами SYN и FIN, равными единице, является RST, поскольку вы нарушаете правила TCP.

Эдди
источник
9

Один тип нападения в старые времена состоял в том, чтобы все флаги были установлены в 1. Это было:

  • данное время
  • КВР
  • ECN-ECHO
  • СРОЧНО
  • ACK
  • От себя
  • RST
  • SYN
  • ПЛАВНИК

Несколько реализаций IP-стеков не проверялись правильно и зависали. Это называлось Рождественская елка

Реми Летурно
источник
Хотя это интересная информация, в действительности она лишь слегка затрагивает ответ на вопрос «можно оба установить на 1», приводя пример.
YLearn
Это было больше задумано как комментарий к предыдущему ответу, но так как комментарии довольно ограничены по формату, я подумал, что лучше сделать отдельный ответ
Реми Летурно,
3

Ответ зависит от типа операционной системы.

Комбинация флага SYN и FIN, устанавливаемого в заголовке TCP, является недопустимой и относится к категории комбинации недопустимого / ненормального флага, поскольку она требует как установления соединения (через SYN), так и прекращения соединения (через FIN).

Способ обработки таких недопустимых / аномальных комбинаций флагов не передается в RFC TCP. Таким образом, такие недопустимые / ненормальные комбинации флагов обрабатываются по-разному в разных операционных системах. Различные операционные системы также генерируют разные типы ответов для таких пакетов.

Это очень большая проблема для сообщества безопасности, потому что злоумышленники должны использовать эти ответные пакеты, чтобы определить тип операционной системы в целевой системе для создания своей атаки. Таким образом, такие комбинации флагов всегда рассматриваются как вредоносные, и современные системы обнаружения вторжений обнаруживают такие комбинации, чтобы избежать атак.

Картик Балагуру
источник