¿Qué sucede cuando los indicadores SYN y FIN en los encabezados TCP están configurados en 1?

10

En el encabezado TCP, ¿qué sucede cuando los indicadores SYN y FIN están configurados en 1? O bien, ¿pueden ambos establecerse simultáneamente en 1?

MAKZ
fuente
¿Una revolución irlandesa?
bmargulies
Hmmm, noté hoy en la red de mi campus que desde que salieron los nuevos iPhones, estamos recibiendo una avalancha de paquetes tcp que tienen tanto syn como fin marcados. Nuestro sistema está teniendo problemas para identificar el teléfono / os que no sea "iPhone IOS" sin un número de versión. Tal vez la nueva actualización o el nuevo teléfono están haciendo algo extraño.
@ThomasNg wow ... brinde actualizaciones sobre lo que hace el administrador de red de su campus para manejar estos paquetes ilegales.
MAKZ

Respuestas:

11

En el comportamiento normal de TCP, nunca deben establecerse ambos en 1 (activado) en el mismo paquete. Existen muchas herramientas que le permiten crear paquetes TCP , y la respuesta típica a un paquete con los bits SYN y FIN establecidos en uno es un RST, ya que está violando las reglas de TCP.

Eddie
fuente
9

Un tipo de ataque en los viejos tiempos era tener todas las Banderas configuradas en 1. Eso fue:

  • Mientras tanto
  • CWR
  • ECN-ECHO
  • URGENTE
  • ACK
  • empujar
  • RST
  • SYN
  • ALETA

Algunas implementaciones de pilas de IP no se verificaron correctamente y fallaron. Se llamaba un paquete de árbol de navidad

Remi Letourneau
fuente
Si bien esta es información interesante, en realidad apenas toca una respuesta a "ambos pueden establecerse en 1" al proporcionar un ejemplo.
YLearn
Fue más como un comentario a la respuesta anterior, pero como los comentarios son bastante limitados en cuanto al formato, pensé que era mejor hacer una respuesta por separado
Remi Letourneau
3

La respuesta depende del tipo de sistema operativo.

La combinación del indicador SYN y FIN que se establece en el encabezado TCP es ilegal y pertenece a la categoría de combinación de indicador ilegal / anormal porque requiere tanto el establecimiento de la conexión (a través de SYN) como la finalización de la conexión (a través de FIN).

El método para manejar tales combinaciones de banderas ilegales / anormales no se transmite en el RFC de TCP. Por lo tanto, estas combinaciones de banderas ilegales / anormales se manejan de manera diferente en varios sistemas operativos. Los diferentes sistemas operativos también generan diferentes tipos de respuestas para dichos paquetes.

Esta es una gran preocupación para la comunidad de seguridad porque los atacantes explotarán estos paquetes de respuesta para determinar el tipo de sistema operativo en el sistema de destino para diseñar su ataque. Por lo tanto, tales combinaciones de indicadores siempre se tratan como sistemas de detección de intrusos maliciosos y modernos que detectan tales combinaciones para evitar ataques.

Karthik Balaguru
fuente