Законен ли только сегмент FIN?

Было бы удобно помечать сегменты TCP только с установленным флагом FIN как вторжение (без отслеживания ответа).

Я всегда предполагал, что FIN без ACK, хотя и грубый и редкий, является законным, основанным на разрыве соединения .

Но затем я читаю такие утверждения, как «FIN никогда не появится сам по себе, поэтому Cisco« установила »фильтры ключевых слов для пакетов ACK и / или RST. Только FIN / ACK действителен».

1. Законен ли только сегмент FIN?
2. Если да, то где я могу с ним встретиться и почему?

Все полчаса исследований говорят о том, что FIN-только никогда не является законным.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Пакеты никогда не должны содержать только флаг FIN. Пакеты FIN часто используются для сканирования портов, отображения сети и других скрытых действий.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Отправьте незапрошенный ACK на открытый или закрытый порт, и вы получите простой RST. FIN никогда не появится сам по себе, поэтому «установленные» ключевые слова Cisco фильтруют пакеты ACK и / или RST. Только FIN / ACK действителен.

Другие сайты Stack Exchange, такие как https://security.stackexchange.com/ , возможно https://superuser.com/ , могут быть лучше в контексте обсуждения тем IDS / IPS.

РЕДАКТИРОВАТЬ:

(С советами Рона Мопина, см. Его комментарий): TCP RFC не (отредактировано, должно быть, было поздно ...) явно заявляет, что пакет только для FIN является недопустимым, и что флаг FIN ДОЛЖЕН сопровождаться другим флагом. Тем не менее, пакет FIN только в современной сети - это что-то необычное, вполне преднамеренное, на это, вероятно, стоит обратить внимание.