Un segmento FIN è legale?

11

Sarebbe conveniente contrassegnare i segmenti TCP con solo il flag FIN impostato, come un'intrusione (senza tenere traccia della risposta).

Ho sempre supposto che un FIN senza un ACK, sebbene rude e raro, sia legale, in base alla terminazione della connessione .

Ma poi ho letto dichiarazioni come "Un FIN non apparirà mai da solo, motivo per cui i filtri per parole chiave" consolidati "di Cisco su pacchetti ACK e / o RST. Sono validi solo FIN / ACK."

  1. Un segmento FIN è legale?
  2. Se è così, dove potrei incontrarne uno e perché?
tcp  firewall  intrusion-prevention 
fundagain
fonte
1
Secondo RFC793, p. 16 "Se il bit di controllo ACK è impostato, questo campo contiene il valore del numero di sequenza successivo che il mittente del segmento si aspetta di ricevere. Una volta stabilita una connessione, questa viene sempre inviata."
JeanPierre,
@JeanPierre Capisco. Stai dicendo che una FIN ACKless non avviata è illegale (non iniziare a distinguere dal T / TCP che avvia SYNFIN. Questo sembra contrario a quanto affermato da altri.
Fundagain,
Se hai dimostrato che è illegale per specifica , rispondi a questa (e alla relativa domanda con generosità)
fundagain
Spero davvero che tu abbia ragione!
raccolta fondi
La risposta alla domanda di generosità è che non si verificherebbe mai!
raccolta fondi

Risposte:

14

Tutta la ricerca di mezz'ora afferma che solo FIN è mai legittimo.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

I pacchetti non devono mai contenere solo un flag FIN. I pacchetti FIN sono spesso utilizzati per scansioni delle porte, mappatura di rete e altre attività invisibili.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Invia un ACK non richiesto a una porta aperta o chiusa e otterrai un normale RST. Un FIN non apparirà mai da solo, motivo per cui i filtri per parole chiave "consolidati" di Cisco sui pacchetti ACK e / o RST. È valido solo FIN / ACK.

Altri siti di scambio di stack, come https://security.stackexchange.com/ , possibilmente https://superuser.com/ , potrebbero essere migliori nel contesto della discussione di argomenti IDS / IPS.

MODIFICARE:

(Con la punta del cappello a Ron Maupin, vedi il suo commento): Il TCP RFC non (modificato, deve essere stato in ritardo ...) afferma esplicitamente che un pacchetto solo FIN è illegale né che una bandiera FIN DEVE essere accompagnato da un'altra bandiera. Tuttavia, un solo pacchetto FIN in una rete moderna è qualcosa di insolito, molto probabilmente intenzionale, che probabilmente vale la pena guardare e cercare.

Marc 'netztier' Luethi
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.