Tất cả các nghiên cứu trong nửa giờ nói rằng chỉ FIN là không bao giờ hợp pháp.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
Các gói không bao giờ chỉ chứa một cờ FIN. Các gói FIN thường được sử dụng để quét cổng, ánh xạ mạng và các hoạt động lén lút khác.
https://lists.sans.org/pipermail/list/2006-June/024563.html
Gửi một ACK không được yêu cầu đến một cổng mở hoặc đóng và bạn sẽ nhận lại được một RST đơn giản. Một FIN sẽ không bao giờ xuất hiện, đó là lý do tại sao các bộ lọc từ khóa "thành lập" của Cisco trên các gói ACK và / hoặc RST. Chỉ FIN / ACK là hợp lệ.
Các trang web Stack Exchange khác, chẳng hạn như /security// , có thể /superuser// , có thể tốt hơn trong bối cảnh thảo luận về các chủ đề IDS / IPS.
BIÊN TẬP:
(Với tip'o'the mũ Ron Maupin, xem bình luận của ông): Các giao thức TCP RFC nào không (chỉnh sửa, nó hẳn phải là muộn ...) nhà nước explicitely rằng một chỉ gói FIN là bất hợp pháp cũng không phải là một PHẢI cờ FIN được kèm theo một lá cờ khác. Tuy nhiên, một gói FIN chỉ trong một mạng hiện đại là một điều gì đó bất thường, hoàn toàn có thể có chủ ý, điều này có lẽ đáng để xem xét và cho.