Was passiert im TCP-Header, wenn sowohl das SYN- als auch das FIN-Flag auf 1 gesetzt sind? Oder können beide sogar gleichzeitig auf 1 gesetzt werden?
Was passiert im TCP-Header, wenn sowohl das SYN- als auch das FIN-Flag auf 1 gesetzt sind? Oder können beide sogar gleichzeitig auf 1 gesetzt werden?
Antworten:
Bei normalem TCP-Verhalten sollten niemals beide im selben Paket auf 1 (ein) gesetzt werden. Es gibt viele Tools, mit denen Sie TCP-Pakete erstellen können. Die typische Antwort auf ein Paket mit auf eins gesetzten SYN- und FIN-Bits ist eine RST, da Sie gegen die TCP-Regeln verstoßen.
Eine Art von Angriff in den alten Tagen bestand darin, alle Flaggen auf 1 zu setzen. Das war:
Einige Implementierungen von IP-Stacks wurden nicht korrekt überprüft und stürzten ab. Es wurde ein Weihnachtsbaumpaket genannt
Die Antwort hängt von der Art des Betriebssystems ab.
Die Kombination von SYN- und FIN-Flag, die im TCP-Header gesetzt wird, ist unzulässig und gehört zur Kategorie der Kombination aus unzulässigem und abnormalem Flag, da sowohl der Verbindungsaufbau (über SYN) als auch die Beendigung der Verbindung (über FIN) erforderlich sind.
Die Methode zur Behandlung solcher unzulässigen / abnormalen Flag-Kombinationen wird im RFC von TCP nicht übermittelt. Daher werden solche illegalen / abnormalen Flag-Kombinationen in verschiedenen Betriebssystemen unterschiedlich behandelt. Unterschiedliche Betriebssysteme erzeugen auch unterschiedliche Arten von Antworten für solche Pakete.
Dies ist ein sehr großes Problem für die Sicherheitsgemeinschaft, da Angreifer diese Antwortpakete ausnutzen müssen, um den Typ des Betriebssystems auf dem Zielsystem zu bestimmen, um seinen Angriff auszuführen. Daher werden solche Flaggenkombinationen immer als böswillig behandelt, und moderne Intrusion Detection-Systeme erkennen solche Kombinationen, um Angriffe zu vermeiden.