仅限FIN的网段合法吗?

11

将仅设置了FIN标志的TCP段标记为入侵(而不跟踪答复)会很方便。

我一直认为,基于连接终止,不带ACK的FIN虽粗鲁而罕见,却是合法的。

但是然后我读到诸如 “ FIN 永远不会单独出现,这就是为什么Cisco的ACK和/或RST数据包的“已建立”关键字过滤器。只有FIN / ACK有效的原因。”

  1. 仅限FIN的网段合法吗?
  2. 如果是这样,我可能在哪里遇到一个为什么?
tcp  firewall  intrusion-prevention 
再次
source
1
根据RFC793,p。16“如果ACK控制位被置位,则该字段包含下一个序列号的值,该段的发送方希望接收。一旦建立连接,则始终发送该连接。”
JeanPierre
@JeanPierre我明白了。您是说非启动ACKless FIN是非法的(非启动与T / TCP发起的SYNFIN区别。这似乎与其他人的说法相反
。– Fundagain
如果您已证明根据规范它是非法的,请回答此问题(并悬赏有关的问题)
再次
我真的希望你是对的!
–fundagain
赏金问题的答案是永远不会发生!
–fundagain

Answers:

14

所有半小时的研究都表明,仅使用FIN绝对不合法。

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

数据包绝不应仅包含FIN标志。FIN数据包通常用于端口扫描,网络映射和其他隐身活动。

https://lists.sans.org/pipermail/list/2006-June/024563.html

将未经请求的ACK发送到打开或关闭的端口,您将获得简单的RST。FIN 永远不会单独出现,这就是为什么Cisco的ACK和/或RST数据包的“已建立”关键字过滤器会因此出现。仅FIN / ACK有效。

在讨论IDS / IPS主题的情况下,其他Stack Exchange网站(例如https://security.stackexchange.com/,可能是https://superuser.com/)可能更好。

编辑:

(使用Ron Maupin的帽子,请看他的评论):TCP RFC 并未(已编辑,它肯定已经晚了……)明确声明仅FIN数据包是非法的,而且FIN标志必须附有另一面旗帜。尽管如此,在现代网络中仅使用FIN的数据包还是很不寻常,很可能是故意的,这可能值得研究和寻找。

Marc'netztier'Luethi
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.