Dans l'en-tête TCP, que se passe-t-il lorsque les indicateurs SYN et FIN sont définis sur 1? Ou, les deux peuvent-ils même être mis simultanément à 1?
Dans l'en-tête TCP, que se passe-t-il lorsque les indicateurs SYN et FIN sont définis sur 1? Ou, les deux peuvent-ils même être mis simultanément à 1?
Réponses:
Dans un comportement TCP normal, ils ne doivent jamais être tous les deux définis sur 1 (activé) dans le même paquet. Il existe de nombreux outils qui vous permettent de créer des paquets TCP , et la réponse typique à un paquet avec des bits SYN et FIN définis sur un est un RST, car vous violez les règles de TCP.
Un type d'attaque autrefois consistait à placer chaque indicateur sur 1. C'était:
Quelques implémentations de piles IP ne se sont pas vérifiées correctement et sont tombées en panne. On l'appelait un paquet d'arbre de Noël
La réponse dépend du type de système d'exploitation.
La combinaison des indicateurs SYN et FIN définie dans l'en-tête TCP est illégale et appartient à la catégorie des combinaisons d'indicateurs illégales / anormales car elle nécessite à la fois l'établissement de la connexion (via SYN) et la fin de la connexion (via FIN).
La méthode pour gérer ces combinaisons d'indicateurs illégales / anormales n'est pas véhiculée dans le RFC de TCP. Ainsi, de telles combinaisons d'indicateurs illégales / anormales sont traitées différemment dans divers systèmes d'exploitation. Différents systèmes d'exploitation génèrent également différents types de réponses pour ces paquets.
C'est une très grande préoccupation pour la communauté de la sécurité car les attaquants doivent exploiter ces paquets de réponse pour déterminer le type de système d'exploitation sur le système cible pour fabriquer son attaque. Ainsi, de telles combinaisons d'indicateurs sont toujours traitées comme des systèmes de détection d'intrusions malveillants et modernes détectent de telles combinaisons pour éviter les attaques.