Un segment FIN uniquement est-il légal?

Il serait pratique de marquer les segments TCP avec uniquement le drapeau FIN défini, comme une intrusion (sans suivre la réponse).

J'ai toujours supposé qu'un FIN sans ACK, bien qu'impoli et rare, est légal, basé sur la fin de la connexion .

Mais ensuite j'ai lu des déclarations telles que "Une FIN n'apparaîtra jamais d'elle-même, c'est pourquoi les filtres de mots-clés" établis "de Cisco sur les paquets ACK et / ou RST. Seul FIN / ACK est valide."

1. Un segment FIN uniquement est-il légal?
2. Si oui, où pourrais-je en rencontrer un et pourquoi?

Toutes les recherches d'une demi-heure indiquent que FIN-only n'est jamais légitime.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Les paquets ne doivent jamais contenir juste un drapeau FIN. Les paquets FIN sont fréquemment utilisés pour les analyses de port, la cartographie du réseau et d'autres activités furtives.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Envoyez un ACK non sollicité à un port ouvert ou fermé et vous obtiendrez un RST ordinaire. Un FIN n'apparaîtra jamais seul, c'est pourquoi les mots-clés "établis" de Cisco filtrent sur les paquets ACK et / ou RST. Seul FIN / ACK est valide.

D'autres sites Stack Exchange, tels que https://security.stackexchange.com/ , éventuellement https://superuser.com/ , pourraient être mieux dans le contexte de la discussion de sujets IDS / IPS.

ÉDITER:

(Avec le chapeau de Ron Maupin, voir son commentaire): Le TCP RFC ne dit pas (édité, il a dû être tard ...) explicitement qu'un paquet FIN uniquement est illégal ni qu'un drapeau FIN DOIT être accompagné d'un autre drapeau. Pourtant, un seul paquet FIN dans un réseau moderne est quelque chose d'inhabituel, très probablement intentionnel, cela vaut probablement la peine d'être examiné et recherché.