Que se passe-t-il lorsque les indicateurs SYN et FIN dans les en-têtes TCP sont tous deux définis sur 1?

10

Dans l'en-tête TCP, que se passe-t-il lorsque les indicateurs SYN et FIN sont définis sur 1? Ou, les deux peuvent-ils même être mis simultanément à 1?

— MAKZ
source

Une révolution irlandaise?

— bmargulies

Hmmm, j'ai remarqué sur mon réseau de campus aujourd'hui que depuis que les nouveaux iPhones sont sortis, nous recevons un flot de paquets TCP qui ont à la fois syn et fin marqués. Notre système a du mal à identifier le / les téléphone (s) autre que "iPhone IOS" sans numéro de version. Peut-être que la nouvelle mise à jour ou le nouveau téléphone fait quelque chose d'étrange.

@ThomasNg wow .. donnez des mises à jour sur ce que votre administrateur de réseau de campus fait pour gérer ces paquets illégaux.

— MAKZ

11

Dans un comportement TCP normal, ils ne doivent jamais être tous les deux définis sur 1 (activé) dans le même paquet. Il existe de nombreux outils qui vous permettent de créer des paquets TCP , et la réponse typique à un paquet avec des bits SYN et FIN définis sur un est un RST, car vous violez les règles de TCP.

— Eddie
source

9

Un type d'attaque autrefois consistait à placer chaque indicateur sur 1. C'était:

Nonce
CWR
ECN-ECHO
URGENT
ACK
Pousser
RST
SYN
AILETTE

Quelques implémentations de piles IP ne se sont pas vérifiées correctement et sont tombées en panne. On l'appelait un paquet d'arbre de Noël

— Rémi Letourneau
source

Bien que ce soit une information intéressante, elle ne touche vraiment qu'à peine à une réponse à "peut à la fois être mis à 1" en fournissant un exemple.

— YLearn

C'était plutôt un commentaire à la réponse précédente, mais comme les commentaires sont assez limités en termes de format, j'ai pensé qu'il valait mieux faire une réponse séparée

— Remi Letourneau

3

La réponse dépend du type de système d'exploitation.

La combinaison des indicateurs SYN et FIN définie dans l'en-tête TCP est illégale et appartient à la catégorie des combinaisons d'indicateurs illégales / anormales car elle nécessite à la fois l'établissement de la connexion (via SYN) et la fin de la connexion (via FIN).

La méthode pour gérer ces combinaisons d'indicateurs illégales / anormales n'est pas véhiculée dans le RFC de TCP. Ainsi, de telles combinaisons d'indicateurs illégales / anormales sont traitées différemment dans divers systèmes d'exploitation. Différents systèmes d'exploitation génèrent également différents types de réponses pour ces paquets.

C'est une très grande préoccupation pour la communauté de la sécurité car les attaquants doivent exploiter ces paquets de réponse pour déterminer le type de système d'exploitation sur le système cible pour fabriquer son attaque. Ainsi, de telles combinaisons d'indicateurs sont toujours traitées comme des systèmes de détection d'intrusions malveillants et modernes détectent de telles combinaisons pour éviter les attaques.

— Karthik Balaguru
source