Apa yang terjadi ketika SYN dan FIN flags dalam header TCP keduanya diatur ke 1?

10

Dalam tajuk TCP, apa yang terjadi ketika kedua bendera SYN dan FIN diatur ke 1? Atau, dapatkah keduanya secara bersamaan diatur ke 1?

MAKZ
sumber
Revolusi Irlandia?
bmargulies
Hmmm saya perhatikan di jaringan kampus saya hari ini bahwa sejak iPhone baru telah keluar, kami mendapatkan banyak paket tcp yang memiliki flag syn dan fin. Sistem kami mengalami kesulitan mengidentifikasi ponsel / os selain "iPhone IOS" tanpa nomor versi. Mungkin pembaruan baru atau telepon baru melakukan sesuatu yang aneh.
@ThomasNg wow .. berikan pembaruan tentang apa yang dilakukan administrator jaringan kampus Anda untuk menangani paket ilegal ini.
MAKZ

Jawaban:

9

Salah satu jenis serangan di masa lalu adalah memiliki setiap Flags diatur ke 1. Yaitu:

  • Nonce
  • CWR
  • ECN-ECHO
  • MENDESAK
  • ACK
  • Dorong
  • RST
  • SYN
  • SIRIP

Beberapa implementasi tumpukan IP tidak memeriksa dengan benar dan jatuh. Itu disebut Paket Pohon Natal

Remi Letourneau
sumber
Walaupun ini adalah informasi yang menarik, itu benar-benar hanya menyentuh pada jawaban untuk "keduanya dapat diatur ke 1" dengan memberikan contoh.
YPelajari
Itu lebih dimaksudkan sebagai komentar untuk jawaban sebelumnya, tetapi karena komentarnya cukup terbatas dalam format, saya pikir lebih baik melakukan jawaban yang terpisah
Remi Letourneau
3

Responsnya tergantung pada jenis Sistem Operasi.

Kombinasi flag SYN dan FIN yang diatur dalam tajuk TCP adalah ilegal dan termasuk dalam kategori kombinasi flag ilegal / abnormal karena panggilan untuk pembentukan koneksi (melalui SYN) dan terminasi koneksi (melalui FIN).

Metode untuk menangani kombinasi flag ilegal / abnormal tersebut tidak disampaikan dalam RFC TCP. Jadi, kombinasi flag ilegal / abnormal tersebut ditangani secara berbeda di berbagai sistem operasi. Sistem operasi yang berbeda juga menghasilkan berbagai jenis respons untuk paket-paket tersebut.

Ini adalah keprihatinan yang sangat besar bagi komunitas keamanan karena penyerang akan mengeksploitasi paket respon ini untuk menentukan jenis OS pada sistem target untuk menyusun serangannya. Jadi, kombinasi flag tersebut selalu diperlakukan sebagai sistem pendeteksi intrusi berbahaya dan modern mendeteksi kombinasi tersebut untuk menghindari serangan.

Karthik Balaguru
sumber