TCP 헤더의 SYN 및 FIN 플래그가 모두 1로 설정되면 어떻게됩니까?

10

TCP 헤더에서 SYN 및 FIN 플래그가 모두 1로 설정되면 어떻게됩니까? 또는 둘 다 동시에 1로 설정할 수 있습니까?

— MAKZ
소스

아일랜드 혁명?

— bmargulies

흠 나는 오늘 캠퍼스 네트워크에서 새로운 iPhone이 나오기 때문에 syn 및 fin 플래그가 지정된 tcp 패킷이 쏟아지고 있음을 알았습니다. 시스템에서 버전 번호없이 "iPhone IOS"이외의 전화 / OS를 식별하는 데 문제가 있습니다. 새 업데이트 나 새 전화가 이상한 일을하고있을 수 있습니다.

@ThomasNg wow .. 캠퍼스 네트워크 관리자가 불법 패킷을 처리하기 위해 수행하는 작업에 대한 업데이트를 제공하십시오.

— MAKZ

11

정상적인 TCP 동작에서는 동일한 패킷에서 둘 다 1로 설정해서는 안됩니다. TCP 패킷을 만들 수 있는 많은 도구가 있으며 TCP 규칙을 위반하기 때문에 SYN 및 FIN 비트가 1로 설정된 패킷에 대한 일반적인 응답은 RST입니다.

— 에디
소스

9

예전의 공격 유형 중 하나는 모든 플래그를 1로 설정하는 것이 었습니다.

목하
CWR
ECN-ECHO
긴급한
ACK
푸시
RST
동기화
지느러미

IP 스택의 일부 구현이 올바르게 확인되지 않고 충돌했습니다. 크리스마스 트리 패킷이라고

— 레미 레 투르 니아 우
소스

이것은 흥미로운 정보이지만 실제로는 예제를 제공하여 "둘 다 1로 설정할 수 있습니다"라는 대답을 거의 다루지 않습니다.

— YLearn

이전 답변에 대한 주석으로 의도 된 것이지만 주석이 형식별로 제한되어 있으므로 별도의 답변을하는 것이 더 좋다고 생각했습니다.

— Remi Letourneau

3

응답은 운영 체제 유형에 따라 다릅니다.

TCP 헤더에서 설정되는 SYN과 FIN 플래그의 조합은 불법이며 SYN을 통한 연결 설정과 FIN을 통한 연결 종료를 모두 요구하기 때문에 불법 / 비정상 플래그 조합 범주에 속합니다.

이러한 불법 / 비정상 플래그 조합을 처리하는 방법은 TCP의 RFC에서 전달되지 않습니다. 따라서 이러한 불법 / 비정상 플래그 조합은 다양한 운영 체제에서 다르게 처리됩니다. 다른 운영 체제는 이러한 패킷에 대해 다른 종류의 응답을 생성합니다.

공격자는 이러한 응답 패킷을 악용하여 대상 시스템에서 OS 유형을 결정하여 공격을 수행해야하기 때문에 이는 보안 커뮤니티에 매우 큰 관심사입니다. 따라서 이러한 플래그 조합은 항상 악의적이며 최신 침입 탐지 시스템이 이러한 조합을 탐지하여 공격을 피합니다.

— 카르 틱 발라 구루
소스