FINのみのセグメントは合法ですか?

11

FINフラグのみが設定されたTCPセグメントを侵入として(応答を追跡せずに)マークすると便利です。

私は常に、ACKなしのFINは、失礼でまれですが、接続の終了に基づいて合法であると想定していました。

しかし、私は、次のような文を読んで 「うA FINを決して確立シスコの理由である、それ自体で表示されていない『』 ACKおよび/またはRSTパケットのキーワードフィルタはのみFIN / ACKが有効です。」

  1. FINのみのセグメントは合法ですか?
  2. もしそうなら、私はどこで遭遇するでしょうか、そしてなぜですか?
tcp  firewall  intrusion-prevention 
Fundagain
ソース
1
RFC793によると、p。16「ACK制御ビットが設定されている場合、このフィールドには、セグメントの送信者が受信することを期待している次のシーケンス番号の値が含まれます。接続が確立されると、これは常に送信されます。」
JeanPierre
@JeanPierreなるほど。あなたは、非開始ACKless FINがあると言っている違法。非T / TCPはSYNFINを開始すると区別するために開始する(これは他の人が主張していることに反しそうです。
fundagain
仕様
基づいて
正解です。
Fundagain
賞金の質問への答えは、それが決して起こらないということです!
Fundagain

回答:

14

30分というすべての調査によると、FINのみが正当であることは決してありません。

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

パケットにFINフラグだけが含まれていてはなりません。FINパケットは、ポートスキャン、ネットワークマッピング、およびその他のステルスアクティビティで頻繁に使用されます。

https://lists.sans.org/pipermail/list/2006-June/024563.html

未承認のACKを開いたポートまたは閉じたポートに送信すると、プレーンなRSTが返されます。FINが単独で表示されることはありません。そのため、Ciscoの「確立された」キーワードは、ACKパケットやRSTパケットをフィルタリングします。FIN / ACKのみが有効です。

/security//、場合によっては/superuser//などの他のStack Exchangeサイトは、IDS / IPSトピックについて説明する場合に適しています。

編集:

(ロンモーピンへの帽子で、彼のコメントを参照してください):TCP RFCは、FINのみのパケットは不正であること、およびFINフラグが必須であることを明示的に述べていませ(編集、それは遅れているはずです...)別の旗を伴う。それでも、現代のネットワークのFINのみのパケットは異常で、おそらく意図的なものであり、これはおそらく注目に値します。

マルク・ネッツティエ・ルエティ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.