将TCP标头中的SYN和FIN标志都设置为1时会发生什么?


10

在TCP标头中,将SYN和FIN标志都设置为1会发生什么?或者,可以同时将两者设置为1吗?


爱尔兰革命?
bmargulies

嗯,我今天在我的校园网络中注意到,由于新的iPhone推出了,因此我们收到了大量同时标记了syn和fin的tcp数据包。我们的系统无法识别没有版本号的“ iPhone IOS”以外的电话/操作系统。也许新的更新或新的手机做的有些奇怪。

@ThomasNg哇..提供有关您的校园网络管理员处理这些非法数据包的最新信息。
MAKZ 2014年

Answers:



9

在过去,一种攻击类型是将每个Flags设置为1。

  • 随机数
  • 压水堆
  • 回音
  • 紧急
  • 确认
  • RST
  • 同步

IP堆栈的一些实现未正确检查并崩溃。它被称为圣诞树小包


尽管这是有趣的信息,但实际上仅通过示例提供了“是否都可以设置为1”的答案。
YLearn

它更意在以前的答案评论,但意见相当有限格式的角度来看,我认为这是更好地做一个单独的答案
雷米勒图尔勒

3

响应取决于操作系统的类型。

在TCP标头中设置的SYN和FIN标志的组合是非法的,并且属于非法/异常标志组合的类别,因为它既要求建立连接(通过SYN)又要求终止连接(通过FIN)。

TCP的RFC中未提供处理此类非法/异常标志组合的方法。因此,这种非法/异常标志组合在各种操作系统中的处理方式不同。不同的操作系统也会为此类数据包生成不同类型的响应。

这是安全社区非常关注的问题,因为攻击者将利用这些响应包来确定目标系统上操作系统的类型,以进行攻击。因此,此类标记组合始终被视为恶意标记,现代入侵检测系统会检测此类组合以避免攻击。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.