FIN 플래그 만 설정하여 TCP 세그먼트를 침입으로 표시하는 것이 편리합니다 (응답을 추적하지 않고).
ACK가없는 FIN은 무례하고 드물지만 연결 종료에 따라 합법적이라고 항상 가정했습니다 .
그러나 "FIN 자체가 나타나지 않기 때문에 Cisco의 ACK 및 / 또는 RST 패킷에 대해"확장 된 "키워드 필터가 표시됩니다. FIN / ACK 만 유효합니다.
- FIN 세그먼트 만 합법적입니까?
- 그렇다면 어디에서 문제가 발생합니까?
FIN 플래그 만 설정하여 TCP 세그먼트를 침입으로 표시하는 것이 편리합니다 (응답을 추적하지 않고).
ACK가없는 FIN은 무례하고 드물지만 연결 종료에 따라 합법적이라고 항상 가정했습니다 .
그러나 "FIN 자체가 나타나지 않기 때문에 Cisco의 ACK 및 / 또는 RST 패킷에 대해"확장 된 "키워드 필터가 표시됩니다. FIN / ACK 만 유효합니다.
답변:
30 분 동안의 모든 연구에 따르면 FIN 전용은 결코 합법적이지 않습니다.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
패킷에는 FIN 플래그 만 포함하면 안됩니다. FIN 패킷은 포트 스캔, 네트워크 매핑 및 기타 스텔스 활동에 자주 사용됩니다.
https://lists.sans.org/pipermail/list/2006-June/024563.html
요청하지 않은 ACK를 열린 포트 나 닫힌 포트로 보내면 일반 RST가 다시 나타납니다. FIN 자체 는 절대 나타나지 않으므로 ACK 및 / 또는 RST 패킷에서 Cisco의 "확립 된"키워드 필터입니다. FIN / ACK 만 유효합니다.
같은 다른 스택 Exchange 사이트, https://security.stackexchange.com/ , 아마도 https://superuser.com/이 더 나은 IDS 논의의 맥락에서 수도 / 주제 IPS.
편집하다:
(론 Maupin에 tip'o'the 모자, 자신의 의견을 참조)하는 TCP RFC는 않습니다 하지 FIN을 전용 패킷이 불법도 있음을 명시 적으로 상태 (편집, 그것은 ... 늦었 어해야합니다)를 FIN 플래그해야 다른 깃발을 동반해야합니다. 여전히 현대 네트워크의 FIN 전용 패킷은 예외적이며 의도적 일 수 있습니다.