En el encabezado TCP, ¿qué sucede cuando los indicadores SYN y FIN están configurados en 1? O bien, ¿pueden ambos establecerse simultáneamente en 1?
En el encabezado TCP, ¿qué sucede cuando los indicadores SYN y FIN están configurados en 1? O bien, ¿pueden ambos establecerse simultáneamente en 1?
Respuestas:
En el comportamiento normal de TCP, nunca deben establecerse ambos en 1 (activado) en el mismo paquete. Existen muchas herramientas que le permiten crear paquetes TCP , y la respuesta típica a un paquete con los bits SYN y FIN establecidos en uno es un RST, ya que está violando las reglas de TCP.
Un tipo de ataque en los viejos tiempos era tener todas las Banderas configuradas en 1. Eso fue:
Algunas implementaciones de pilas de IP no se verificaron correctamente y fallaron. Se llamaba un paquete de árbol de navidad
La respuesta depende del tipo de sistema operativo.
La combinación del indicador SYN y FIN que se establece en el encabezado TCP es ilegal y pertenece a la categoría de combinación de indicador ilegal / anormal porque requiere tanto el establecimiento de la conexión (a través de SYN) como la finalización de la conexión (a través de FIN).
El método para manejar tales combinaciones de banderas ilegales / anormales no se transmite en el RFC de TCP. Por lo tanto, estas combinaciones de banderas ilegales / anormales se manejan de manera diferente en varios sistemas operativos. Los diferentes sistemas operativos también generan diferentes tipos de respuestas para dichos paquetes.
Esta es una gran preocupación para la comunidad de seguridad porque los atacantes explotarán estos paquetes de respuesta para determinar el tipo de sistema operativo en el sistema de destino para diseñar su ataque. Por lo tanto, tales combinaciones de indicadores siempre se tratan como sistemas de detección de intrusos maliciosos y modernos que detectan tales combinaciones para evitar ataques.