#1 楼
在正常的TCP行为中,永远不要在同一数据包中将它们都设置为1(开)。现有许多工具可用于制作TCP数据包,并且对SYN和FIN位设置为1的数据包的典型响应是RST,因为这违反了TCP规则。#2 楼
在过去,一种攻击类型是将每个Flags都设置为1。这就是:Nonce
CWR
ECN-ECHO
ACK
按
RST
SYN
FIN
IP堆栈的一些实现未正确检查并崩溃。它被称为圣诞树包
评论
尽管这是有趣的信息,但通过提供一个示例,它实际上仅触及“都可以设置为1”的答案。
– YLearn♦
14-10-22在15:36
它原本是作为对先前答案的注释,但是由于注释在格式方面非常有限,我认为最好单独做一个答案
–雷米·莱图诺
14-10-22在17:10
#3 楼
响应取决于操作系统的类型。在TCP头中设置的SYN和FIN标志的组合是非法的,属于非法/异常标志组合的类别,因为它既要求建立连接(通过SYN)又要求终止连接(通过FIN)。
TCP的RFC中未提供处理此类非法/异常标志组合的方法。因此,这种非法/异常标志组合在各种操作系统中的处理方式不同。不同的操作系统也会为此类数据包生成不同类型的响应。
这是安全界非常关注的问题,因为攻击者将利用这些响应包来确定目标系统上的操作系统类型,以进行攻击。因此,此类标记组合始终被视为恶意的,现代入侵检测系统会检测到此类组合以避免攻击。
评论
爱尔兰革命吗?嗯,我今天在我的校园网络中注意到,由于新的iPhone推出了,因此我们收到了大量同时标记了syn和fin的tcp数据包。我们的系统无法识别没有版本号的“ iPhone IOS”以外的电话/操作系统。也许新的更新或新的手机做的有些奇怪。
@ThomasNg哇..提供有关您的校园网络管理员处理这些非法数据包的最新信息。