6. Запрещённые комбинации tcp-флагов

В TCP-пакете может быть установлены различные комбинации 6 флагов:

• URG – наличие флага URG говорит о том, что TCP-пакет содержит важные (urgent) данные.

• ACK – его наличие означает, что TCP-пакет содержит в поле «номер подтверждения» верные данные.

• PSH – его наличие говорит о том, что данные TCP-пакета должны быть немедленно переданы прикладной программе, для которой они адресованы.

• RST – данный флаг устанавливается, когда получен неверный TCP-пакет или необходимо переустановить логического соединения.

• SYN – флаг является запросом на установление логического соединения. При получении пакета с данным флагом принимающая сторона должна ответить на него.

• FIN – пакет с таким флагом является запросом на закрытие логического соединения и признаком конца потока данных, передаваемых в этом направлении. При получении пакета с данным флагом принимающая сторона должна ответить на него.

К одним из запрещённых комбинаций относят сочетание SYN и FIN – два взаимоисключающих флага (первый устанавливает соединение, второй завершает его) – данные флаги не могут встречаться вместе. Данное сочетание флагов очень часто используют различные сканеры, в том числе сканер Nmap. Иногда добавляют к данной комбинации ещё несколько флагов с целью обхода некоторых средств сетевой безопасности, например, комбинации SYN – FIN – PSH или SYN – FIN – RST, SYN – FIN – RST – PSH. Аналитики называют эти сочетания «шаблоном рождественской елки» («Christmas Tree Pattern»). К подозрительным также относят комбинации RST – FIN и SYN – RST.

TCP-пакеты, содержащие запрещённые комбинации, называются неправильными.

4. Технологический раздел

   1. Руководство программиста

      1. Описание входных данных

Входными данными для лабораторного стенда является файл, сформированный с помощью утилиты WinDump.

Анализатор трафика запускается со следующими параметрами:

путь_к_WinDump.exe –i номер_сетевого_интерфейса -s 0 -c количество_пакетов -vv -n ip host ip_ПК > путь_к_name_file

Параметр –s 0 – захватываются все пакеты (независимо от их размера).

Параметр –vv – вывод более детальной информации о сетевых пакетах (по сравнению с состоянием по умолчанию).

Установление параметра –n отменяет преобразование IP-адресов в имена.

Параметр ip – отлавливаются только пакеты, использующие протокол IP.

Параметр host 192.168.1.2 позволяет отловить входящий и исходящий трафик хоста с IP-адресом 192.168.1.2. Все остальные пакеты отбрасываются.

Пример входных данных:

10:20:50.446836 IP (tos 0x0, ttl 128, id 20924, offset 0, flags [DF], proto: TCP (6), length: 557) 192.168.1.5.7781 > 5.45.58.101.443: P, cksum 0x95b7 (correct), 1:518(517) ack 1 win 258

10:20:50.538261 IP (tos 0x0, ttl 53, id 8281, offset 0, flags [DF], proto: TCP (6), length: 40) 5.45.58.101.443 > 192.168.1.5.7781: ., cksum 0xa640 (correct), 1441:2049(608) ack 518 win 256

Рассмотрим для примера последнюю запись:

• 10:20:50.538261 – время прихода пакета.

• IP – протокол сетевого уровня. Параметры данного протокола:

• tos 0x0 – тип обслуживания IP-сегментов.

• ttl 53 – время жизни пакета (максимальное количество узлов, которые может пройти пакет).

• id 8281 – идентификатор IP-сегмента.

• offset 0 – поле смещения фрагмента.

• flags [DF] – данный IP-сегмент не может быть разбит на фрагменты. Если установлен бит MF, то IP-сегмент был разбит и данный «подсегмент» является последним в цепочке «подсегментов» (при MF = 0).

• proto: TCP (6) – протокол более высокого уровня, для которого предназначены данные IP-сегмента.

• length: 40 – длина заголовка составляет 40 байтов.

• 5.45.58.101.443 – сокет отправителя.

• 192.168.1.5.7781 – сокет получателя.

• . – отсутствуют такие флаги, как SYN, FIN, PSH, RST.

• cksum 0xa640 (correct) – контрольная сумма верна.

• 1441:2049(608) – начальный «номер последовательности»: «номер последовательности» + переданные байты (количество ранее переданных данных в байтах).

• ack 518 – «номер подтверждения».

• win 256 – количество байтов данных, которое может принять отправитель данного пакет.