Was passiert, wenn SYN- und FIN-Flags in TCP-Headern beide auf 1 gesetzt sind?

10

Was passiert im TCP-Header, wenn sowohl das SYN- als auch das FIN-Flag auf 1 gesetzt sind? Oder können beide sogar gleichzeitig auf 1 gesetzt werden?

MAKZ
quelle
Eine irische Revolution?
Bmargulies
Hmmm, ich habe heute in meinem Campus-Netzwerk festgestellt, dass wir seit dem Erscheinen der neuen iPhones eine Flut von TCP-Paketen bekommen, die sowohl syn- als auch fin-gekennzeichnet sind. Unser System hat Probleme, andere Telefone / Betriebssysteme als "iPhone IOS" ohne Versionsnummer zu identifizieren. Vielleicht macht das neue Update oder das neue Telefon etwas Seltsames.
@ThomasNg wow .. Aktualisierungen darüber, was Ihr Campus-Netzwerkadministrator tut, um mit diesen illegalen Paketen umzugehen.
MAKZ

Antworten:

11

Bei normalem TCP-Verhalten sollten niemals beide im selben Paket auf 1 (ein) gesetzt werden. Es gibt viele Tools, mit denen Sie TCP-Pakete erstellen können. Die typische Antwort auf ein Paket mit auf eins gesetzten SYN- und FIN-Bits ist eine RST, da Sie gegen die TCP-Regeln verstoßen.

Eddie
quelle
9

Eine Art von Angriff in den alten Tagen bestand darin, alle Flaggen auf 1 zu setzen. Das war:

  • Nonce
  • CWR
  • ECN-ECHO
  • DRINGEND
  • ACK
  • drücken
  • RST
  • SYN
  • FLOSSE

Einige Implementierungen von IP-Stacks wurden nicht korrekt überprüft und stürzten ab. Es wurde ein Weihnachtsbaumpaket genannt

Remi Letourneau
quelle
Dies sind zwar interessante Informationen, sie berühren jedoch kaum eine Antwort auf "beide können auf 1 gesetzt werden", indem ein Beispiel angegeben wird.
YLearn
Es war eher als Kommentar zur vorherigen Antwort gedacht, aber da die Kommentare in Bezug auf das Format ziemlich begrenzt sind, dachte ich, es wäre besser, eine separate Antwort zu geben
Remi Letourneau
3

Die Antwort hängt von der Art des Betriebssystems ab.

Die Kombination von SYN- und FIN-Flag, die im TCP-Header gesetzt wird, ist unzulässig und gehört zur Kategorie der Kombination aus unzulässigem und abnormalem Flag, da sowohl der Verbindungsaufbau (über SYN) als auch die Beendigung der Verbindung (über FIN) erforderlich sind.

Die Methode zur Behandlung solcher unzulässigen / abnormalen Flag-Kombinationen wird im RFC von TCP nicht übermittelt. Daher werden solche illegalen / abnormalen Flag-Kombinationen in verschiedenen Betriebssystemen unterschiedlich behandelt. Unterschiedliche Betriebssysteme erzeugen auch unterschiedliche Arten von Antworten für solche Pakete.

Dies ist ein sehr großes Problem für die Sicherheitsgemeinschaft, da Angreifer diese Antwortpakete ausnutzen müssen, um den Typ des Betriebssystems auf dem Zielsystem zu bestimmen, um seinen Angriff auszuführen. Daher werden solche Flaggenkombinationen immer als böswillig behandelt, und moderne Intrusion Detection-Systeme erkennen solche Kombinationen, um Angriffe zu vermeiden.

Karthik Balaguru
quelle