将TCP标头中的SYN和FIN标志都设置为1时会发生什么？

10

在TCP标头中，将SYN和FIN标志都设置为1会发生什么？或者，可以同时将两者设置为1吗？

tcp protocol-theory layer4 transport-protocol

— 马克斯
source

爱尔兰革命？

— bmargulies

嗯，我今天在我的校园网络中注意到，由于新的iPhone推出了，因此我们收到了大量同时标记了syn和fin的tcp数据包。我们的系统无法识别没有版本号的“ iPhone IOS”以外的电话/操作系统。也许新的更新或新的手机做的有些奇怪。

@ThomasNg哇..提供有关您的校园网络管理员处理这些非法数据包的最新信息。

— MAKZ 2014年

11

在正常的TCP行为中，永远不要在同一数据包中将它们都设置为1（开）。现有许多工具可用于制作TCP数据包，并且对SYN和FIN位设置为1的数据包的典型响应是RST，因为这违反了TCP规则。

— 埃迪
source

9

在过去，一种攻击类型是将每个Flags设置为1。

IP堆栈的一些实现未正确检查并崩溃。它被称为圣诞树小包

— 雷米·勒图诺
source

尽管这是有趣的信息，但实际上仅通过示例提供了“是否都可以设置为1”的答案。

— YLearn

它更意在以前的答案评论，但意见相当有限格式的角度来看，我认为这是更好地做一个单独的答案

— 雷米勒图尔勒

3

响应取决于操作系统的类型。

在TCP标头中设置的SYN和FIN标志的组合是非法的，并且属于非法/异常标志组合的类别，因为它既要求建立连接（通过SYN）又要求终止连接（通过FIN）。

TCP的RFC中未提供处理此类非法/异常标志组合的方法。因此，这种非法/异常标志组合在各种操作系统中的处理方式不同。不同的操作系统也会为此类数据包生成不同类型的响应。

这是安全社区非常关注的问题，因为攻击者将利用这些响应包来确定目标系统上操作系统的类型，以进行攻击。因此，此类标记组合始终被视为恶意标记，现代入侵检测系统会检测此类组合以避免攻击。

— 卡尔提克·巴拉古鲁（Karthik Balaguru）
source