Законен ли только сегмент FIN?

11

Было бы удобно помечать сегменты TCP только с установленным флагом FIN как вторжение (без отслеживания ответа).

Я всегда предполагал, что FIN без ACK, хотя и грубый и редкий, является законным, основанным на разрыве соединения .

Но затем я читаю такие утверждения, как «FIN никогда не появится сам по себе, поэтому Cisco« установила »фильтры ключевых слов для пакетов ACK и / или RST. Только FIN / ACK действителен».

  1. Законен ли только сегмент FIN?
  2. Если да, то где я могу с ним встретиться и почему?
fundagain
источник
1
Согласно RFC793, с. 16 «Если установлен бит управления ACK, это поле содержит значение следующего порядкового номера, который ожидает получить отправитель сегмента. Как только соединение установлено, оно всегда отправляется».
ЖанПьер
@JeanPierre я вижу. Вы говорите, что не инициирующий ACKless FIN является незаконным (не инициирующий, чтобы отличать от инициирующего SYNFIN T / TCP. Это, кажется, противоречит тому, что утверждали другие.
fundagain
Если вы доказали, что это незаконно по спецификации , пожалуйста, ответьте на этот вопрос (и связанный с ним вопрос с вознаграждением)
fundagain
Я очень надеюсь, что вы правы!
Fundagain
Ответ на щедрый вопрос в том, что это никогда не произойдет!
Fundagain

Ответы:

14

Все полчаса исследований говорят о том, что FIN-только никогда не является законным.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Пакеты никогда не должны содержать только флаг FIN. Пакеты FIN часто используются для сканирования портов, отображения сети и других скрытых действий.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Отправьте незапрошенный ACK на открытый или закрытый порт, и вы получите простой RST. FIN никогда не появится сам по себе, поэтому «установленные» ключевые слова Cisco фильтруют пакеты ACK и / или RST. Только FIN / ACK действителен.

Другие сайты Stack Exchange, такие как https://security.stackexchange.com/ , возможно https://superuser.com/ , могут быть лучше в контексте обсуждения тем IDS / IPS.

РЕДАКТИРОВАТЬ:

(С советами Рона Мопина, см. Его комментарий): TCP RFC не (отредактировано, должно быть, было поздно ...) явно заявляет, что пакет только для FIN является недопустимым, и что флаг FIN ДОЛЖЕН сопровождаться другим флагом. Тем не менее, пакет FIN только в современной сети - это что-то необычное, вполне преднамеренное, на это, вероятно, стоит обратить внимание.

Марк Нецтьер Луэти
источник