Apakah segmen FIN saja legal?

11

Akan lebih mudah untuk menandai segmen TCP hanya dengan flag FIN yang ditetapkan, sebagai intrusi (tanpa melacak balasannya).

Saya selalu berasumsi bahwa FIN tanpa ACK, meskipun kasar dan jarang, adalah legal, berdasarkan pemutusan koneksi .

Tetapi kemudian saya membaca pernyataan seperti "A FIN tidak akan pernah muncul dengan sendirinya, itulah sebabnya mengapa filter kata kunci" mapan "Cisco pada paket ACK dan / atau RST. Hanya FIN / ACK yang valid."

  1. Apakah segmen FIN saja legal?
  2. Jika demikian, di mana saya dapat menemukan satu dan mengapa?
tcp firewall intrusion-prevention fundagain
sumber
1
Menurut RFC793, hal. 16 "Jika bit kontrol ACK disetel, bidang ini berisi nilai nomor urut berikutnya yang diharapkan diterima oleh pengirim segmen. Setelah koneksi dibuat, ini selalu dikirim."
JeanPierre
@ JeanPierre saya mengerti. Apakah Anda mengatakan bahwa FIN ACKless yang tidak memulai adalah ilegal (tidak memulai untuk membedakan dari T / TCP yang memulai SYNFIN. Tampaknya ini bertentangan dengan apa yang telah diklaim oleh orang lain.
fundagain
Jika Anda telah membuktikan itu ilegal per spec , harap jawab ini (dan pertanyaan terkait dengan hadiah)
fundagain
Saya sangat berharap kamu benar!
Penggalangan dana
Jawaban atas pertanyaan karunia itu tidak akan pernah terjadi!
Penggalangan dana

Jawaban:

14

Semua penelitian setengah jam mengatakan bahwa FIN saja tidak pernah sah.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Paket tidak boleh mengandung hanya bendera FIN. Paket FIN sering digunakan untuk pemindaian port, pemetaan jaringan, dan aktivitas tersembunyi lainnya.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Kirim ACK yang tidak diminta ke pelabuhan terbuka atau tertutup dan Anda akan mendapatkan kembali RST biasa. FIN tidak akan pernah muncul dengan sendirinya karena itulah filter kata kunci "mapan" Cisco pada paket ACK dan / atau RST. Hanya FIN / ACK yang valid.

Situs Stack Exchange lainnya, seperti https://security.stackexchange.com/ , mungkin https://superuser.com/ , mungkin lebih baik dalam konteks mendiskusikan topik IDS / IPS.

EDIT:

(Dengan ujung topi untuk Ron Maupin, lihat komentarnya): TCP RFC tidak (diedit, pasti sudah terlambat ...) dengan jelas menyatakan bahwa paket FIN saja ilegal atau bendera FIN HARUS disertai dengan bendera lain. Namun, paket FIN hanya dalam jaringan modern adalah sesuatu yang tidak biasa, sangat mungkin disengaja, ini mungkin layak dilihat dan untuk.

Marc 'netztier' Luethi
sumber