Um único segmento FIN é legal?

11

Seria conveniente marcar os segmentos TCP apenas com o sinalizador FIN definido, como uma intrusão (sem rastrear a resposta).

Sempre presumi que um FIN sem um ACK, embora rude e raro, seja legal, com base no encerramento da conexão .

Mas então eu leio declarações como "Um FIN nunca aparecerá por si só, e é por isso que os filtros de palavra-chave" estabelecidos "da Cisco nos pacotes ACK e / ou RST. Somente o FIN / ACK é válido".

  1. Um único segmento FIN é legal?
  2. Se sim, onde posso encontrar um e por quê?
fundagain
fonte
11
De acordo com a RFC793, p. 16 "Se o bit de controle ACK estiver definido, este campo conterá o valor do próximo número de sequência que o remetente espera receber. Depois que uma conexão é estabelecida, ela é sempre enviada."
JeanPierre 20/04/19
@ JeanPierre eu vejo. Você está dizendo um não iniciar ACKless FIN é ilegal . (Não iniciar de distinguir do T / TCP iniciando SYNFIN Isto parece contrário ao que os outros têm afirmado.
fundagain
Se você tem provado que é ilegal por especificação , por favor responder a esta (e a questão relacionada com generosidade)
fundagain
Eu realmente espero que você esteja correto!
fundagain
A resposta para a questão da recompensa é que nunca iria ocorrer!
fundagain

Respostas:

14

Toda a pesquisa de meia hora diz que somente o FIN nunca é legítimo.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Pacotes nunca devem conter apenas um sinalizador FIN. Pacotes FIN são freqüentemente usados ​​para varreduras de portas, mapeamento de rede e outras atividades furtivas.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Envie um ACK não solicitado para uma porta aberta ou fechada e você receberá um RST simples. Um FIN nunca aparecerá por si só, e é por isso que a palavra-chave "estabelecida" da Cisco filtra os pacotes ACK e / ou RST. Somente FIN / ACK é válido.

Outros sites do Stack Exchange, como https://security.stackexchange.com/ , possivelmente https://superuser.com/ , podem ser melhores no contexto da discussão de tópicos do IDS / IPS.

EDITAR:

(Com dica para Ron Maupin, veja seu comentário): O TCP RFC não (editado, deve ter chegado tarde ...) declara explicitamente que um pacote somente FIN é ilegal ou que um sinalizador FIN deve ser acompanhado por outra bandeira. Ainda assim, um único pacote FIN em uma rede moderna é algo incomum, possivelmente intencional, provavelmente vale a pena procurar e procurar.

Marc 'netztier' Luethi
fonte