Là một phân khúc FIN chỉ hợp pháp?

11

Sẽ thuận tiện khi đánh dấu các phân đoạn TCP chỉ bằng cờ FIN, như một sự xâm nhập (không theo dõi trả lời).

Tôi luôn cho rằng một FIN không có ACK, trong khi thô lỗ và hiếm, là hợp pháp, dựa trên việc chấm dứt kết nối .

Nhưng sau đó tôi đọc các câu như "FIN sẽ không bao giờ xuất hiện, đó là lý do tại sao các bộ lọc từ khóa" thành lập "của Cisco trên các gói ACK và / hoặc RST. Chỉ FIN / ACK là hợp lệ."

  1. Là một phân khúc FIN chỉ hợp pháp?
  2. Nếu vậy, tôi có thể gặp một nơi và tại sao?
tcp  firewall  intrusion-prevention 
gây quỹ
nguồn
1
Theo RFC793, p. 16 "Nếu bit điều khiển ACK được đặt, trường này chứa giá trị của số thứ tự tiếp theo mà người gửi của phân đoạn dự kiến ​​sẽ nhận được. Khi kết nối được thiết lập, nó luôn được gửi."
JeanPierre
@JeanPierre tôi thấy. Có phải bạn đang nói rằng ACKless FIN không khởi tạo là bất hợp pháp (không bắt đầu phân biệt với SYNFIN khởi tạo T / TCP. Điều này dường như trái ngược với những gì người khác đã tuyên bố.
fundagain
Nếu bạn đã chứng minh rằng đó là bất hợp pháp trên mỗi thông số kỹ thuật , vui lòng trả lời câu hỏi này (và câu hỏi liên quan với tiền thưởng)
fundagain
Tôi thực sự hy vọng bạn là chính xác!
fundagain
Câu trả lời cho câu hỏi tiền thưởng là nó sẽ không bao giờ xảy ra!
fundagain

Câu trả lời:

14

Tất cả các nghiên cứu trong nửa giờ nói rằng chỉ FIN là không bao giờ hợp pháp.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Các gói không bao giờ chỉ chứa một cờ FIN. Các gói FIN thường được sử dụng để quét cổng, ánh xạ mạng và các hoạt động lén lút khác.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Gửi một ACK không được yêu cầu đến một cổng mở hoặc đóng và bạn sẽ nhận lại được một RST đơn giản. Một FIN sẽ không bao giờ xuất hiện, đó là lý do tại sao các bộ lọc từ khóa "thành lập" của Cisco trên các gói ACK và / hoặc RST. Chỉ FIN / ACK là hợp lệ.

Các trang web Stack Exchange khác, chẳng hạn như /security// , có thể /superuser// , có thể tốt hơn trong bối cảnh thảo luận về các chủ đề IDS / IPS.

BIÊN TẬP:

(Với tip'o'the mũ Ron Maupin, xem bình luận của ông): Các giao thức TCP RFC nào không (chỉnh sửa, nó hẳn phải là muộn ...) nhà nước explicitely rằng một chỉ gói FIN là bất hợp pháp cũng không phải là một PHẢI cờ FIN được kèm theo một lá cờ khác. Tuy nhiên, một gói FIN chỉ trong một mạng hiện đại là một điều gì đó bất thường, hoàn toàn có thể có chủ ý, điều này có lẽ đáng để xem xét và cho.

Marc 'netztier' Luethi
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.