Всі дослідження за півгодини говорять про те, що лише FIN ніколи не є законним.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
Пакети ніколи не повинні містити лише прапор FIN. FIN-пакети часто використовуються для сканування портів, мережевого картографування та інших захопних заходів.
https://lists.sans.org/pipermail/list/2006-June/024563.html
Надішліть непотрібний ACK на відкритий або закритий порт, і ви отримаєте звичайний RST. FIN ніколи не з’явиться сам, тому "встановлені" Cisco фільтри ключових слів для пакетів ACK та / або RST. Діє лише FIN / ACK.
Інші сайти обміну стеками, такі як https://security.stackexchange.com/ , можливо https://superuser.com/ , можуть бути кращими в контексті обговорення тем IDS / IPS.
Редагувати:
(З підказкою: капелюх до Рона Маупіна, дивіться його коментар): TCP RFC не (редагував, він, мабуть, запізнився ...) чітко зазначає, що пакет лише FIN не є незаконним, або що прапор FIN повинен бути супроводжуватиметься іншим прапором. Тим не менш, пакет лише FIN у сучасній мережі є чимось незвичним, цілком можливо навмисним, на це, мабуть, варто звернути увагу і шукати.