Bir FIN sadece segmenti yasal mı?

11

TCP segmentlerini yalnızca FIN bayrağı ayarlanmış olarak, izinsiz giriş olarak işaretlemek uygun olacaktır (yanıtı izlemeden).

Her zaman ACK'sız bir FIN'nin kaba ve nadir olsa da bağlantı sonlandırmasına dayanarak yasal olduğunu varsaydım .

Ama sonra "A FIN hiçbir zaman tek başına görünmeyecek, bu yüzden Cisco'nun ACK ve / veya RST paketleri üzerinde" yerleşik "anahtar kelime filtreleri oluşturdu. Yalnızca FIN / ACK geçerlidir."

  1. Bir FIN sadece segmenti yasal mı?
  2. Eğer öyleyse, nerede karşılaşabilirim ve neden?
tcp  firewall  intrusion-prevention 
fundagain
kaynak
1
RFC793'e göre, s. 16 "ACK kontrol biti ayarlanırsa bu alan, segmentin göndereninin almayı beklediği bir sonraki sıra numarasının değerini içerir. Bir bağlantı kurulduktan sonra bu her zaman gönderilir."
JeanPierre
@JeanPierre Anlıyorum. Eğer ACKless FIN başlatılması olmayan bir söylüyorsunuz olan yasadışı . (Sigara T / TCP ayırt etmek başlatılması SYNFIN başlatılması Bu başkalarının iddia ettiği aksine ne gibi görünüyor.
fundagain
Spesifikasyon başına yasa dışı olduğunu kanıtladıysanız , lütfen bunu (ve ödül ile ilgili soruyu)
cevaplayın
Umarım haklısın!
fundagain
Ödül sorusunun cevabı asla olmayacaktı!
fundagain

Yanıtlar:

14

Yarım saatlik tüm araştırmalar sadece FIN'in asla meşru olmadığını söylüyor.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Paketler asla sadece bir FIN bayrağı içermemelidir. FIN paketleri bağlantı noktası taramaları, ağ eşlemesi ve diğer gizli etkinlikler için sıklıkla kullanılır.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Açık veya kapalı bir bağlantı noktasına istenmeyen bir ACK gönderin ve düz bir RST alacaksınız. Bir FIN hiçbir zaman tek başına görünmez, bu nedenle Cisco'nun ACK ve / veya RST paketleri üzerinde "yerleşik" anahtar kelime filtreleri. Yalnızca FIN / ACK geçerlidir.

Https://security.stackexchange.com/ , muhtemelen https://superuser.com/ gibi diğer Stack Exchange siteleri IDS / IPS konularının tartışılması bağlamında daha iyi olabilir.

DÜZENLE:

(Ron Maupin'in için tip'o'the şapka ile, onun yorumu görmek): TCP RFC yok değil bir FIN sadece paket kaçak olduğunu ne de bu açık bir şekilde devlet (düzenlenmiş, bu ... geç olmalıydı) bir FIN bayrağı gerektiğini başka bir bayrak eşlik edecek. Yine de, modern bir ağdaki sadece bir FIN paketi, olağandışı, muhtemelen kasıtlı bir şeydir, bu muhtemelen bakmaya değer.

Marc 'Netztier' Luethi
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.