Ist ein FIN-Segment nur legal?

11

Es wäre zweckmäßig, TCP-Segmente nur mit gesetztem FIN-Flag als Eingriff zu markieren (ohne die Antwort zu verfolgen).

Ich habe immer angenommen, dass eine FIN ohne ACK, obwohl unhöflich und selten, legal ist, basierend auf der Beendigung der Verbindung .

Aber dann lese ich Aussagen wie "Eine FIN wird niemals von selbst erscheinen, weshalb die" etablierten "Schlüsselwortfilter von Cisco für ACK- und / oder RST-Pakete. Nur FIN / ACK ist gültig."

  1. Ist ein FIN-Segment nur legal?
  2. Wenn ja, wo könnte ich einem begegnen und warum?
tcp firewall intrusion-prevention Fundagain
quelle
1
Nach RFC793, p. 16 "Wenn das ACK-Steuerbit gesetzt ist, enthält dieses Feld den Wert der nächsten Sequenznummer, die der Absender des Segments erwartet. Sobald eine Verbindung hergestellt ist, wird diese immer gesendet."
JeanPierre
@ JeanPierre Ich verstehe. Wollen Sie damit sagen, dass ein nicht initiierendes ACKless FIN illegal ist (nicht initiierend, um sich von dem T / TCP-initiierenden SYNFIN zu unterscheiden. Dies scheint im Widerspruch zu dem zu stehen, was andere behauptet haben.
Fundagain
Wenn Sie bewiesen haben, dass es gemäß Spezifikation illegal ist , beantworten Sie dies (und die damit verbundene Frage mit Kopfgeld)
Fundagain
Ich hoffe wirklich, dass Sie richtig sind!
Fundagain
Die Antwort auf die Kopfgeldfrage wäre, dass sie niemals eintreten würde!
Fundagain

Antworten:

14

Alle Untersuchungen von einer halben Stunde besagen, dass nur FIN niemals legitim ist.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Pakete sollten niemals nur ein FIN-Flag enthalten. FIN-Pakete werden häufig für Port-Scans, Netzwerkzuordnungen und andere Stealth-Aktivitäten verwendet.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Senden Sie eine unerwünschte Bestätigung an einen offenen oder geschlossenen Port, und Sie erhalten eine einfache RST zurück. Eine FIN wird niemals von selbst angezeigt, weshalb die "etablierten" Keyword-Filter von Cisco für ACK- und / oder RST-Pakete verwendet werden. Nur FIN / ACK ist gültig.

Andere Stack Exchange-Websites wie /security// , möglicherweise /superuser// , sind möglicherweise besser geeignet , um IDS / IPS-Themen zu diskutieren.

BEARBEITEN:

(Mit dem Tipp an Ron Maupin, siehe seinen Kommentar): Der TCP-RFC gibt nicht (bearbeitet, es muss spät gewesen sein ...) ausdrücklich an, dass ein Paket nur mit FIN illegal ist oder dass ein FIN-Flag MUSS von einer anderen Flagge begleitet werden. Dennoch ist ein FIN-Paket in einem modernen Netzwerk etwas Ungewöhnliches, möglicherweise Absichtliches, das es wahrscheinlich wert ist, angeschaut und gesucht zu werden.

Marc 'netztier' Luethi
quelle