将仅设置 FIN 标志的 TCP 段标记为入侵(不跟踪回复)会很方便。
我一直认为没有 ACK 的 FIN 虽然粗鲁和罕见,但基于连接终止是合法的。
但是后来我读到了诸如 “A FIN永远不会单独出现的原因,这就是思科对 ACK 和/或 RST 数据包的“已建立”关键字过滤器的原因。只有 FIN/ACK 是有效的。
- 仅 FIN 段合法吗?
- 如果是这样,我可能在哪里遇到,为什么?
仅 FIN 段合法吗?
网络工程
通讯协议
防火墙
入侵预防
2021-07-09 17:43:54
1个回答
半小时的所有研究表明,仅 FIN 永远不会合法。
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
数据包永远不应该只包含一个 FIN 标志。FIN 数据包经常用于端口扫描、网络映射和其他隐蔽活动。
https://lists.sans.org/pipermail/list/2006-June/024563.html
将主动提供的 ACK 发送到打开或关闭的端口,您将得到一个普通的 RST。FIN永远不会单独出现,这就是 Cisco 对 ACK 和/或 RST 数据包的“已建立”关键字过滤器的原因。只有 FIN/ACK 有效。
其他 Stack Exchange 站点,例如https://security.stackexchange.com/,可能是https://superuser.com/,在讨论 IDS/IPS 主题时可能会更好。
编辑:
(向 Ron Maupin 致敬,请参阅他的评论):TCP RFC没有(已编辑,它一定迟到了......)明确指出仅 FIN 的数据包是非法的,也没有 FIN 标志必须伴随着另一面旗帜。尽管如此,现代网络中的仅 FIN 数据包是不寻常的,很可能是故意的,这可能值得一看。