Чи законний лише сегмент FIN?

Було б зручно позначити сегменти TCP лише встановленим прапором FIN, як вторгнення (без відстеження відповіді).

Я завжди вважав, що FIN без ACK, хоча і грубо і рідко, є законним, заснованим на припиненні з'єднання .

Але потім я читаю твердження, такі як "FIN ніколи не з’явиться сам по собі, тому" встановлені "Cisco фільтри ключових слів у пакетах ACK та / або RST. Дійсно лише FIN / ACK."

1. Чи законний лише сегмент FIN?
2. Якщо так, то де я можу зіткнутися з ним і чому?

Всі дослідження за півгодини говорять про те, що лише FIN ніколи не є законним.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Пакети ніколи не повинні містити лише прапор FIN. FIN-пакети часто використовуються для сканування портів, мережевого картографування та інших захопних заходів.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Надішліть непотрібний ACK на відкритий або закритий порт, і ви отримаєте звичайний RST. FIN ніколи не з’явиться сам, тому "встановлені" Cisco фільтри ключових слів для пакетів ACK та / або RST. Діє лише FIN / ACK.

Інші сайти обміну стеками, такі як https://security.stackexchange.com/ , можливо https://superuser.com/ , можуть бути кращими в контексті обговорення тем IDS / IPS.

Редагувати:

(З підказкою: капелюх до Рона Маупіна, дивіться його коментар): TCP RFC не (редагував, він, мабуть, запізнився ...) чітко зазначає, що пакет лише FIN не є незаконним, або що прапор FIN повинен бути супроводжуватиметься іншим прапором. Тим не менш, пакет лише FIN у сучасній мережі є чимось незвичним, цілком можливо навмисним, на це, мабуть, варто звернути увагу і шукати.