Un segment FIN uniquement est-il légal?

11

Il serait pratique de marquer les segments TCP avec uniquement le drapeau FIN défini, comme une intrusion (sans suivre la réponse).

J'ai toujours supposé qu'un FIN sans ACK, bien qu'impoli et rare, est légal, basé sur la fin de la connexion .

Mais ensuite j'ai lu des déclarations telles que "Une FIN n'apparaîtra jamais d'elle-même, c'est pourquoi les filtres de mots-clés" établis "de Cisco sur les paquets ACK et / ou RST. Seul FIN / ACK est valide."

  1. Un segment FIN uniquement est-il légal?
  2. Si oui, où pourrais-je en rencontrer un et pourquoi?
fundagain
la source
1
Selon RFC793, p. 16 "Si le bit de contrôle ACK est défini, ce champ contient la valeur du numéro de séquence suivant que l'expéditeur du segment s'attend à recevoir. Une fois la connexion établie, elle est toujours envoyée."
JeanPierre
@JeanPierre je vois. Êtes-vous en train de dire qu'un ACKless FIN non initiateur est illégal (non initiateur pour faire la distinction avec SYNFIN initiateur T / TCP. Cela semble contraire à ce que d'autres ont prétendu.
fundagain
Si vous avez prouvé qu'il est illégal par spécification , veuillez répondre à cette question (et à la question connexe avec prime)
fundagain
J'espère vraiment que vous avez raison!
fundagain
La réponse à la question des primes étant qu'elle ne se produira jamais!
fundagain

Réponses:

14

Toutes les recherches d'une demi-heure indiquent que FIN-only n'est jamais légitime.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Les paquets ne doivent jamais contenir juste un drapeau FIN. Les paquets FIN sont fréquemment utilisés pour les analyses de port, la cartographie du réseau et d'autres activités furtives.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Envoyez un ACK non sollicité à un port ouvert ou fermé et vous obtiendrez un RST ordinaire. Un FIN n'apparaîtra jamais seul, c'est pourquoi les mots-clés "établis" de Cisco filtrent sur les paquets ACK et / ou RST. Seul FIN / ACK est valide.

D'autres sites Stack Exchange, tels que https://security.stackexchange.com/ , éventuellement https://superuser.com/ , pourraient être mieux dans le contexte de la discussion de sujets IDS / IPS.

ÉDITER:

(Avec le chapeau de Ron Maupin, voir son commentaire): Le TCP RFC ne dit pas (édité, il a dû être tard ...) explicitement qu'un paquet FIN uniquement est illégal ni qu'un drapeau FIN DOIT être accompagné d'un autre drapeau. Pourtant, un seul paquet FIN dans un réseau moderne est quelque chose d'inhabituel, très probablement intentionnel, cela vaut probablement la peine d'être examiné et recherché.

Marc 'netztier' Luethi
la source