---

Hvornår bliver syn biten sat, og hvad bruges den enlig til i et tcp/ip
netværk (internettet)

--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

On Tue, 26 Dec 2000 18:21:16 +0100, Heine Laursen
<gozar@Linux.dk> wrote:

> Hvornår bliver syn biten sat, og hvad bruges den enlig til i
> et tcp/ip netværk (internettet)

TCP er som bekendt en forbindelsesorienteret kommunikationsform,
hvilket betyder, at de to parter skal 'sætte forbindelsen op',
ikke ulig hvad der sker ved fx. en telefonsamtale.

SYN er den opkaldende parts signal til den anden ende om, at den
ønsker at starte en forbindelse (telefonen ringer). Hvis modtage-
ren er villig og/eller i stand til det, svarer den med en SYN ACK
(hallo). Til dette sender den kaldende part endnu et ACK (hallo),
hvorefter samtalen er etableret.

Altså:
A -> B SYN
A <- B SYN ACK
A -> B ACK

Som det fremgår er der tre trin i etableringen af en TCP-forbin-
delse, hvorfor det det også kaldes en 'threeway handshake'.

Hele formålet med ovenstående er i øvrigt at få udvekslet nogle
sekvensnumre, der senere i konversationen bruges til at holde
styr på, hvem der sendte hvad i hvilken rækkefølge, og om det
nåede frem.

Se http://sunsite.dk/RFC/rfc/rfc793.html
og http://www.cisco.com/warp/public/759/ipj_3-2/ipj_3-2_tcp.html

Begge ovenstående er lidt tung læsning (et print plus en blok og
en blyant ved siden af kan være en god idé), men bestemt besværet
værd, hvis man har en interesse i det her.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

---

On Wed, 27 Dec 2000 02:14:13 +0100, Heine Laursen <gozar@Linux.dk>
wrote:

>Kan jeg få et lille eksempel, hvornår syn biten bliver sat (ftp-data
>porten??) og når den ikke bliver sat (http ??)

Øhm. Den bliver altid sat i de første pakker, når der skal etableres
en TCP-forbindelse:

A -> B SYN
A <- B SYN ACK
A -> B ACK
[så er TCP-forbindelsen oprettet - og først herefter kan vi hælde
applikations-data igennem]
A -> B "GET / HTTP/1.0"
B -> A ACK
B -> A "HTTP/1.0 200 OK ..."
A -> B ACK
....

Nederste del i ovenstående omhandler HTTP, men kunne lige så godt
omhandle ftp-data, ftp, pop3, nntp...


--
- Pede
Professionel nørd

---

On Wed, 27 Dec 2000 02:14:13 +0100, Heine Laursen
<gozar@Linux.dk> wrote:

> Kan jeg få et lille eksempel, hvornår syn biten bliver sat (ftp-data
> porten??) og når den ikke bliver sat (http ??)

SYN sættes altid ved etableringen af en TCP-forbindelse.

HTTP er lidt noget skod, fordi der etableres en TCP-forbindelse
for hvert element i en side. Men alle forbindelser er da i det
mindste fra klienten til serveren.

FTP er lidt besynderlig, fordi der faktisk etableres *to* forbin-
delser; én fra klient til server, hvor der sendes kommandoer og
en fra server til klient, hvor der sendes data (downloades). Men
der bruges threeway handshake på begge forbindelser.

> Grunden, er enlig at jeg har sat en lille firewall op. hvor alt
> (næsten) bliver afvist hvil syn biten er sat. Så er det jo meget ret
> at hvide om der bliver accepteret telnet session.

En firewall kan med rette afvise trafik, der ikke er svar på en
session sat op indefra. En måde at gøre det på med TCP er natur-
ligvis at se på, om pakken der kommer tilbage er en del af et
handshake eller en eksisterende forbindelse, og det kan man jo
gøre ved at se på SYN-bitten.

Men det giver i praksis ikke noget sikkerhed, for enhver kan
sætte den bit i en pakke der sendes til dig, og det er mange år
siden de første hackere fandt på det.

> Ser på læsestoffet, når jeg har lidt mere tid!!

Se først på http://www.usenet.dk/netikette/quote.html

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Wed, 27 Dec 2000 07:13:51 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>HTTP er lidt noget skod, fordi der etableres en TCP-forbindelse
>for hvert element i en side. Men alle forbindelser er da i det
>mindste fra klienten til serveren.

.... heldigvis er en del af HTTP/1.1 muligheden for at sende
"Connection: Keep-alive"-HTTP-headeren, der muliggør flere requests
over samme TCP-forbindelse.

Jeg har dog ikke testet det så meget med de forskellige browsere, men
jeg tror, MSIE bruger det ganske effektivt (i og med at den default
max har to aktive TCP-connections i gang pr. webhost).


--
- Pede
Professionel nørd

---

On Wed, 27 Dec 2000, Asbjorn Hojmark wrote:

> > Grunden, er enlig at jeg har sat en lille firewall op. hvor alt
> > (næsten) bliver afvist hvil syn biten er sat. Så er det jo meget ret
> > at hvide om der bliver accepteret telnet session.
>
> En firewall kan med rette afvise trafik, der ikke er svar på en
> session sat op indefra. En måde at gøre det på med TCP er natur-
> ligvis at se på, om pakken der kommer tilbage er en del af et
> handshake eller en eksisterende forbindelse, og det kan man jo
> gøre ved at se på SYN-bitten.
>
> Men det giver i praksis ikke noget sikkerhed, for enhver kan
> sætte den bit i en pakke der sendes til dig, og det er mange år
> siden de første hackere fandt på det.

Og hvad vil de så få ud af at det, hvis de fjerner syn biten?
Så vil de kunde komme i forbindelse med eks telnet??
--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

On Sat, 30 Dec 2000 15:09:50 +0100, Heine Laursen
<gozar@Linux.dk> wrote:

> Og hvad vil de så få ud af at det, hvis de fjerner syn biten?
> Så vil de kunde komme i forbindelse med eks telnet??

Jeg forstår ikke spørgsmålet. Jeg snakkede ikke om at fjerne SYN-
bitten. Jeg snakkede om at afvise TCP-trafik, der ikke havde SYN-
bitten sat.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Sat, 30 Dec 2000, Asbjorn Hojmark wrote:

> > Og hvad vil de så få ud af at det, hvis de fjerner syn biten?
> > Så vil de kunde komme i forbindelse med eks telnet??
>
> Jeg forstår ikke spørgsmålet. Jeg snakkede ikke om at fjerne SYN-
> bitten. Jeg snakkede om at afvise TCP-trafik, der ikke havde SYN-
> bitten sat.

Nej det ved jeg godt. Men lad os antage at en hacker meget gerne vil have
adgang til mit system, og jeg har telnet til at køre på computeren. Vil
det så være muligt for hackeren at få adgang til mit system ved at fjerne
syn biten igennem en telent session.

Min firewall afviser default alt der har sat syn biten. også på port 23
Men afviser ikke trafik der ikke har sat syn biten.

--
Mvh
Heine Laursen

Replace @Linux.dk with @pokerface.dk to mail

---

On Sun, 31 Dec 2000 16:36:35 +0100, Heine Laursen
<gozar@Linux.dk> wrote:

> Men lad os antage at en hacker meget gerne vil have adgang til mit system,
> og jeg har telnet til at køre på computeren. Vil det så være muligt for
> hackeren at få adgang til mit system ved at fjerne syn biten igennem en
> telent session.

Nej, det er ikke nok at fake en eksisterende session, for din
telnet-daemon vil jo ikke se trafikken som en del af noget den
har gang i.

Men hvis man fusker med det, vil det være nok til at få pakken
forbi den del af dit filter, og alene det kan i nogle situationer
være nok til at gøre ret stor skade.

> Min firewall afviser default alt der har sat syn biten. også på port 23
> Men afviser ikke trafik der ikke har sat syn biten.

Det giver en lille smule sikkerhed, idet man ikke kan sætte en ny
TCP-forbindelse op. Man skal bare være opmærksom på, at det sta-
dig er muligt for folk udefra at sende enkeltstående TCP-pakker
ind ved ikke at sætte SYN.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

---

On Sat, 30 Dec 2000 15:04:44 +0100, Heine Laursen
<gozar@Linux.dk> wrote:

> vil du have jeg skrev [SNIP] ???

Jeg vil gerne have dig til at klippe en hel del mere i det du
citerer.

-A
PS: FUT: dk.admin.netikette
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/