Seria conveniente marcar os segmentos TCP apenas com o sinalizador FIN definido, como uma intrusão (sem rastrear a resposta).
Sempre presumi que um FIN sem um ACK, embora rude e raro, seja legal, com base no encerramento da conexão .
Mas então eu leio declarações como "Um FIN nunca aparecerá por si só, e é por isso que os filtros de palavra-chave" estabelecidos "da Cisco nos pacotes ACK e / ou RST. Somente o FIN / ACK é válido".
- Um único segmento FIN é legal?
- Se sim, onde posso encontrar um e por quê?
tcp
firewall
intrusion-prevention
fundagain
fonte
fonte
Respostas:
Toda a pesquisa de meia hora diz que somente o FIN nunca é legítimo.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
https://lists.sans.org/pipermail/list/2006-June/024563.html
Outros sites do Stack Exchange, como https://security.stackexchange.com/ , possivelmente https://superuser.com/ , podem ser melhores no contexto da discussão de tópicos do IDS / IPS.
EDITAR:
(Com dica para Ron Maupin, veja seu comentário): O TCP RFC não (editado, deve ter chegado tarde ...) declara explicitamente que um pacote somente FIN é ilegal ou que um sinalizador FIN deve ser acompanhado por outra bandeira. Ainda assim, um único pacote FIN em uma rede moderna é algo incomum, possivelmente intencional, provavelmente vale a pena procurar e procurar.
fonte