L4 Xmas

TCP Xmas flood

Klasik Xmas tarama tarzı: FIN, PSH ve URG birlikte set (FPU). Filtrelerin yüksek PPS'te “yanmış” Christmas tree paketlerini nasıl sınıfladığını test eder.

Nasıl çalışır?

Engarde Xmas Flood preset TCP flag FPU ve invalid_flag=true kullanır.
Tarihsel olarak port taramada kullanılır; flood hızında parse/sınıflandırma mantığını zorlar.
ALL TCP Flags'ten (invalid_flag olmadan FPU) farklıdır — her iki preset'i karşılaştırın.
Modern stack'lerde sık düşer; simülasyon yolunuzdaki davranışı doğrular.

Paket akışı (örnek)

FIN + PSH + URG set edilmiş TCP segmentleri (Xmas / FPU).

Engarde node Hedef

→FIN+

→PSH+

→URGFPU

Xmas tree packet × N

Örnek akış — canlı PCAP değildir.

Flag F + P + U (FPU)

Engarde Xmas Flood

invalid_flag true

Engarde'de ne izlenmeli?

Her hop'ta drop vs. forward oranı.
Xmas veya FPU desenine referans veren IDS kuralları.

Bu simülasyonu çalıştırma

Lab hedefinde Xmas Flood preset; ALL TCP Flags raporu ile karşılaştırın.

Mitigasyon perspektifi

Edge'de Xmas/FPU combo için açık deny; legacy uygulama istisnalarını belgeleyin.