FIN 세그먼트 만 합법적입니까?


11

FIN 플래그 만 설정하여 TCP 세그먼트를 침입으로 표시하는 것이 편리합니다 (응답을 추적하지 않고).

ACK가없는 FIN은 무례하고 드물지만 연결 종료에 따라 합법적이라고 항상 가정했습니다 .

그러나 "FIN 자체가 나타나지 않기 때문에 Cisco의 ACK 및 / 또는 RST 패킷에 대해"확장 된 "키워드 필터가 표시됩니다. FIN / ACK 만 유효합니다.

  1. FIN 세그먼트 만 합법적입니까?
  2. 그렇다면 어디에서 문제가 발생합니까?

1
RFC793에 따르면, p. 16 "ACK 제어 비트가 설정되면이 필드에는 세그먼트의 송신자가 수신 할 것으로 예상되는 다음 시퀀스 번호의 값이 포함됩니다. 연결이 설정되면 항상 전송됩니다."
JeanPierre

@JeanPierre 알겠습니다. 당신이 ACKless FIN을 시작되지 않은 말을하는 것은 불법 . (비 T / TCP 구분하기 시작 SYNFIN을 시작 이것은 다른 사람이 주장 것과는 달리 보인다.
fundagain

당신은 그것이 입증 한 경우 사양에 따라 불법 이 대답 (그리고 현상금와 관련된 질문)하시기 바랍니다
fundagain

정말 당신이 맞기를 바랍니다!
fundagain

현상금 질문에 대한 답변은 결코 일어나지 않을 것입니다!
fundagain

답변:


14

30 분 동안의 모든 연구에 따르면 FIN 전용은 결코 합법적이지 않습니다.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

패킷에는 FIN 플래그 만 포함하면 안됩니다. FIN 패킷은 포트 스캔, 네트워크 매핑 및 기타 스텔스 활동에 자주 사용됩니다.

https://lists.sans.org/pipermail/list/2006-June/024563.html

요청하지 않은 ACK를 열린 포트 나 닫힌 포트로 보내면 일반 RST가 다시 나타납니다. FIN 자체 는 절대 나타나지 않으므로 ACK 및 / 또는 RST 패킷에서 Cisco의 "확립 된"키워드 필터입니다. FIN / ACK 만 유효합니다.

같은 다른 스택 Exchange 사이트, https://security.stackexchange.com/ , 아마도 https://superuser.com/이 더 나은 IDS 논의의 맥락에서 수도 / 주제 IPS.

편집하다:

(론 Maupin에 tip'o'the 모자, 자신의 의견을 참조)하는 TCP RFC는 않습니다 하지 FIN을 전용 패킷이 불법도 있음을 명시 적으로 상태 (편집, 그것은 ... 늦었 어해야합니다)를 FIN 플래그해야 다른 깃발을 동반해야합니다. 여전히 현대 네트워크의 FIN 전용 패킷은 예외적이며 의도적 일 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.