Que se passe-t-il lorsque les indicateurs SYN et FIN dans les en-têtes TCP sont tous deux définis sur 1?

10

Dans l'en-tête TCP, que se passe-t-il lorsque les indicateurs SYN et FIN sont définis sur 1? Ou, les deux peuvent-ils même être mis simultanément à 1?

MAKZ
la source
Une révolution irlandaise?
bmargulies
Hmmm, j'ai remarqué sur mon réseau de campus aujourd'hui que depuis que les nouveaux iPhones sont sortis, nous recevons un flot de paquets TCP qui ont à la fois syn et fin marqués. Notre système a du mal à identifier le / les téléphone (s) autre que "iPhone IOS" sans numéro de version. Peut-être que la nouvelle mise à jour ou le nouveau téléphone fait quelque chose d'étrange.
@ThomasNg wow .. donnez des mises à jour sur ce que votre administrateur de réseau de campus fait pour gérer ces paquets illégaux.
MAKZ

Réponses:

9

Un type d'attaque autrefois consistait à placer chaque indicateur sur 1. C'était:

  • Nonce
  • CWR
  • ECN-ECHO
  • URGENT
  • ACK
  • Pousser
  • RST
  • SYN
  • AILETTE

Quelques implémentations de piles IP ne se sont pas vérifiées correctement et sont tombées en panne. On l'appelait un paquet d'arbre de Noël

Rémi Letourneau
la source
Bien que ce soit une information intéressante, elle ne touche vraiment qu'à peine à une réponse à "peut à la fois être mis à 1" en fournissant un exemple.
YLearn
C'était plutôt un commentaire à la réponse précédente, mais comme les commentaires sont assez limités en termes de format, j'ai pensé qu'il valait mieux faire une réponse séparée
Remi Letourneau
3

La réponse dépend du type de système d'exploitation.

La combinaison des indicateurs SYN et FIN définie dans l'en-tête TCP est illégale et appartient à la catégorie des combinaisons d'indicateurs illégales / anormales car elle nécessite à la fois l'établissement de la connexion (via SYN) et la fin de la connexion (via FIN).

La méthode pour gérer ces combinaisons d'indicateurs illégales / anormales n'est pas véhiculée dans le RFC de TCP. Ainsi, de telles combinaisons d'indicateurs illégales / anormales sont traitées différemment dans divers systèmes d'exploitation. Différents systèmes d'exploitation génèrent également différents types de réponses pour ces paquets.

C'est une très grande préoccupation pour la communauté de la sécurité car les attaquants doivent exploiter ces paquets de réponse pour déterminer le type de système d'exploitation sur le système cible pour fabriquer son attaque. Ainsi, de telles combinaisons d'indicateurs sont toujours traitées comme des systèmes de détection d'intrusions malveillants et modernes détectent de telles combinaisons pour éviter les attaques.

Karthik Balaguru
la source