Было бы удобно помечать сегменты TCP только с установленным флагом FIN как вторжение (без отслеживания ответа).
Я всегда предполагал, что FIN без ACK, хотя и грубый и редкий, является законным, основанным на разрыве соединения .
Но затем я читаю такие утверждения, как «FIN никогда не появится сам по себе, поэтому Cisco« установила »фильтры ключевых слов для пакетов ACK и / или RST. Только FIN / ACK действителен».
- Законен ли только сегмент FIN?
- Если да, то где я могу с ним встретиться и почему?
tcp
firewall
intrusion-prevention
fundagain
источник
источник
Ответы:
Все полчаса исследований говорят о том, что FIN-только никогда не является законным.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
https://lists.sans.org/pipermail/list/2006-June/024563.html
Другие сайты Stack Exchange, такие как https://security.stackexchange.com/ , возможно https://superuser.com/ , могут быть лучше в контексте обсуждения тем IDS / IPS.
РЕДАКТИРОВАТЬ:
(С советами Рона Мопина, см. Его комментарий): TCP RFC не (отредактировано, должно быть, было поздно ...) явно заявляет, что пакет только для FIN является недопустимым, и что флаг FIN ДОЛЖЕН сопровождаться другим флагом. Тем не менее, пакет FIN только в современной сети - это что-то необычное, вполне преднамеренное, на это, вероятно, стоит обратить внимание.
источник