Czy segment tylko z FIN jest legalny?

11

Byłoby wygodnie oznaczyć segmenty TCP tylko z ustawioną flagą FIN, jako wtargnięcie (bez śledzenia odpowiedzi).

Zawsze zakładałem, że FIN bez ACK, chociaż niegrzeczny i rzadki, jest legalny, oparty na zakończeniu połączenia .

Ale potem czytam takie stwierdzenia, jak: „FIN nigdy nie pojawi się sam z siebie, dlatego„ ustalone ”filtry słów kluczowych Cisco na pakietach ACK i / lub RST. Poprawne są tylko FIN / ACK.”

  1. Czy segment tylko z FIN jest legalny?
  2. Jeśli tak, to gdzie mogę je spotkać i dlaczego?
tcp firewall intrusion-prevention fundagain
źródło
1
Zgodnie z RFC793, str. 16 „Jeśli ustawiony jest bit kontrolny ACK, pole to zawiera wartość następnego numeru sekwencyjnego, którego nadawca segmentu oczekuje. Po ustanowieniu połączenia jest ono zawsze wysyłane.”
JeanPierre
@JeanPierre Rozumiem. Czy mówisz, że nieinicjująca funkcja ACKless FIN jest nielegalna (nie inicjująca w celu odróżnienia od SYNFIN inicjującego T / TCP. Wydaje się to sprzeczne z tym, co twierdzili inni.
fundagain
Jeśli udowodniłeś, że jest to niezgodne z specyfikacją , odpowiedz na to pytanie (i powiązane pytanie z nagrodą)
fundagain
Naprawdę mam nadzieję, że masz rację!
fundagain
Odpowiedź na pytanie o nagrodę nigdy nie nastąpi!
funduszagain

Odpowiedzi:

14

Wszystkie badania trwające pół godziny mówią, że tylko FIN nie jest nigdy uzasadnione.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Pakiety nigdy nie powinny zawierać tylko flagi FIN. Pakiety FIN są często używane do skanowania portów, mapowania sieci i innych działań ukrytych.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Wyślij niechciane potwierdzenie do otwartego lub zamkniętego portu, a otrzymasz zwykły RST. FIN nigdy nie pojawi się sam z siebie, dlatego „ustalone” filtry słów kluczowych Cisco na pakietach ACK i / lub RST. Obowiązuje tylko FIN / ACK.

Inne strony stosu wymiany, takie jak https://security.stackexchange.com/ , ewentualnie https://superuser.com/ , mogą być lepsze w kontekście omawiania tematów IDS / IPS.

EDYTOWAĆ:

(Ze wskazówką dla Rona Maupina, patrz jego komentarz): TCP RFC nie (zredagowany, musiał się spóźnić ...) wyraźnie stwierdza, że ​​pakiet tylko FIN jest nielegalny, ani że flaga FIN MUSI towarzyszyć mu będzie inna flaga. Mimo to, pakiet tylko FIN w nowoczesnej sieci jest czymś niezwykłym, być może celowym, na co prawdopodobnie warto zwrócić uwagę.

Marc „netztier” Luethi
źródło