invalid tcp flags
- Ersteller 666locke
- Erstellt am
Anzeige
invalid tcp flags .
barracuda
No shirt, service anyway!
Nur keine Panik: http://securityresponse.symantec.com/avcenter/nis_ids/sigs/invalid_tcp_flags.html
Man sollte die Meldungen einer PFW nicht überbewerten: Siehe hier.
Man sollte die Meldungen einer PFW nicht überbewerten: Siehe hier.
Osti
Gurkencommander
Für einen "normalen" TCP-Verbindungsaufbau und -abbau sowie die Datenübertragung gibt es eine per RFC festgelegte Folge und Kombination von TCP-Flags. Nun kann es vorkommen, dass Programme oder auch Angreifer ungültige TCP-Flags in den Paketen setzen. Eine gute Firewall erkennt solche Protokoll-Anomalien und blockt diese. Viele ältere TCP/IP-Stacks sind gegenüber diesen Anomalien anfällig und können abstürzen.
Osti
Osti
das bedeutet beim file-sharing, daß ein anderer teilnehmer
versucht hat mich zu "kontakten" ?
dies aber fehlgeschlagen ist wegen defekter tcp flags ??
ich frage nur , weil dies nicht immer passiert.
oder hängt es damit zusammen,
weil ich hinter einem router und firewall ins netz gehe ?
gruß
micha
versucht hat mich zu "kontakten" ?
dies aber fehlgeschlagen ist wegen defekter tcp flags ??
ich frage nur , weil dies nicht immer passiert.
oder hängt es damit zusammen,
weil ich hinter einem router und firewall ins netz gehe ?
gruß
micha
Osti
Gurkencommander
tcp-flags sind spezielle bits im TCP-Header. Je nach dem, wie sie gesetzt werden kann der empfangende Rechner erkennen, ob es sich um einen Verbindungsaufbau, -abbau, Datenübertragung, -abbruch usw. handelt. Ungültige Flags wären z.B. wenn beide Flags für den Verbindungsauf- und -abbau im gleich Paket gesetzt sind -> weil geht nicht. Oder wenn gleich alle Flags gesetzt sind (ChristmasTree). Manchmal verhaspeln sich Programme beim setzten der Flags, manchmal ist es ein Angriff und machmal wird es zum Information sammeln benutzt. Ein korrekter TCP/IP-Satck würde diese Pakte eh verwerfen. Manche Stacks "reagieren" aber auf diese unsinnigen Flags und man kann Rückschlüsse auf das Betriebssystem, das Vorhandensein einer Firewall etc. schliessen... Also, solange deine FW den Krempel rausfiltert hast Du überhaupt kein Problem, da die Pakete für eine normale Kommunikation eh wertlos sind.
Osti
Osti
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂
Ähnliche Themen
