¿Es legal un segmento de FIN solamente?

11

Sería conveniente marcar segmentos TCP solo con el conjunto de banderas FIN, como una intrusión (sin rastrear la respuesta).

Siempre he asumido que un FIN sin un ACK, aunque grosero y raro, es legal, basado en la terminación de la conexión .

Pero luego leí declaraciones como "A FIN nunca aparecerá por sí mismo, por eso los filtros de palabras clave" establecidos "de Cisco en los paquetes ACK y / o RST. Solo FIN / ACK es válido".

  1. ¿Es legal un segmento de FIN solamente?
  2. Si es así, ¿dónde podría encontrar uno y por qué?
fundagain
fuente
1
De acuerdo con RFC793, p. 16 "Si se establece el bit de control ACK, este campo contiene el valor del siguiente número de secuencia que el emisor del segmento espera recibir. Una vez que se establece una conexión, siempre se envía".
JeanPierre
@JeanPierre Ya veo. ¿Está diciendo que un FIN ACKless no iniciador es ilegal (no iniciarse para distinguir del SYNFIN iniciador T / TCP. Esto parece contrario a lo que otros han afirmado.)
Fundagain
Si ha demostrado que es ilegal según las especificaciones , responda esto (y la pregunta relacionada con recompensa)
Fundagain
¡Realmente espero que tengas razón!
Fundagain
¡La respuesta a la pregunta de recompensa es que nunca ocurriría!
Fundagain

Respuestas:

14

Toda la investigación de media hora dice que FIN-only nunca es legítimo.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Los paquetes nunca deben contener solo una bandera FIN. Los paquetes FIN se usan con frecuencia para escaneos de puertos, mapeo de redes y otras actividades ocultas.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Envíe un ACK no solicitado a un puerto abierto o cerrado y obtendrá un RST simple. Un FIN nunca aparecerá por sí mismo, razón por la cual la palabra clave "establecida" de Cisco se filtra en los paquetes ACK y / o RST. Solo FIN / ACK es válido.

Otros sitios de Stack Exchange, como /security// , posiblemente /superuser// , podrían ser mejores en el contexto de la discusión de temas de IDS / IPS.

EDITAR:

(Con el sombrero de punta a Ron Maupin, vea su comentario): El TCP RFC no (editado, debe haber sido tarde ...) declara explícitamente que un paquete FIN solo es ilegal ni que una bandera FIN DEBE ir acompañado de otra bandera. Aún así, un paquete de FIN solamente en una red moderna es algo inusual, posiblemente intencional, probablemente valga la pena mirarlo.

Marc 'netztier' Luethi
fuente