Чи законний лише сегмент FIN?


11

Було б зручно позначити сегменти TCP лише встановленим прапором FIN, як вторгнення (без відстеження відповіді).

Я завжди вважав, що FIN без ACK, хоча і грубо і рідко, є законним, заснованим на припиненні з'єднання .

Але потім я читаю твердження, такі як "FIN ніколи не з’явиться сам по собі, тому" встановлені "Cisco фільтри ключових слів у пакетах ACK та / або RST. Дійсно лише FIN / ACK."

  1. Чи законний лише сегмент FIN?
  2. Якщо так, то де я можу зіткнутися з ним і чому?

1
Згідно RFC793, с. 16 "Якщо встановлено біт керування ACK, це поле містить значення наступного порядкового номера, який очікує отримання відправника сегмента. Після встановлення з'єднання це завжди надсилається."
ЖанП'єрр

@JeanPierre Я бачу. Ви говорите, що не ініціюючий ACKless FIN є незаконним (не ініціюючи відмежування від T / TCP, що ініціює SYNFIN. Це здається всупереч тому, що заявили інші.
fundagain

Якщо ви довели, що це незаконно за специфікацією , будь ласка, дайте відповідь на це питання (та пов'язане з ним питання з баунті)
фундамент

Я дуже сподіваюся, що ви маєте рацію!
фундамент

Відповідь на щедрий питання - це ніколи не виникне!
фундамент

Відповіді:


14

Всі дослідження за півгодини говорять про те, що лише FIN ніколи не є законним.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Пакети ніколи не повинні містити лише прапор FIN. FIN-пакети часто використовуються для сканування портів, мережевого картографування та інших захопних заходів.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Надішліть непотрібний ACK на відкритий або закритий порт, і ви отримаєте звичайний RST. FIN ніколи не з’явиться сам, тому "встановлені" Cisco фільтри ключових слів для пакетів ACK та / або RST. Діє лише FIN / ACK.

Інші сайти обміну стеками, такі як https://security.stackexchange.com/ , можливо https://superuser.com/ , можуть бути кращими в контексті обговорення тем IDS / IPS.

Редагувати:

(З підказкою: капелюх до Рона Маупіна, дивіться його коментар): TCP RFC не (редагував, він, мабуть, запізнився ...) чітко зазначає, що пакет лише FIN не є незаконним, або що прапор FIN повинен бути супроводжуватиметься іншим прапором. Тим не менш, пакет лише FIN у сучасній мережі є чимось незвичним, цілком можливо навмисним, на це, мабуть, варто звернути увагу і шукати.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.