fin 扫描涉及发送带有 FIN 且除（可能）PSH 和/或 URG 之外没有其他标志的 TCP 段。2019 年是否曾合法遇到过此类数据包？

请注意，仅 FIN 段是否合法？已经确定，虽然具有 FIN 但没有 ACK 的 TCP 段在规范内是合法的，但公认的做法是永远不要这样做。如此之多，以至于这些细分市场可能被认为是非法的。

因此，我们知道 Berkeley 套接字和 Windows 堆栈永远不会发出这样的段。

• 2019 年是否遇到过有 FIN 但没有 ACK 的 TCP 段？如果是，在什么情况下。

• 正如@Ron Maupin 所指出的，使用事务性 TCP，“您可以发送带有 SYN、数据和 FIN 的单个段，但没有 ACK，因为没有什么可确认的”。对我来说，这个例子符合提出的问题，尽管目前还不清楚它是否在今天遇到。@Ron Maupin 选择不将其作为正式答案呈现“因为它从未被广泛实施，所以它现在已经过时了。它在RFC 1379, Extending TCP for Transactions 中定义，但该 RFC 被移至历史状态，由RFC 6247 ”。

• 2019 年是否遇到过带有 FIN 且除可能的 PSH 和/或 URG 之外没有设置其他 TCP 标志的 TCP 段？如果是，在什么情况下？

我不是在寻找假设。

我被要求进一步激发这个问题。

这个问题背后的原因是FIN扫描检测。

• 如果不再出现无 ACK 的 FIN，则很容易检测到 FIN 扫描：任何没有 ACK 的 FIN 都是扫描 - 报警。大多数交换机都有检测和/或丢弃此类数据包的选项。

• 然而，如果这样的段今天仍然发生，那么这样的方法将产生误报（并且IDS将被关闭）。

• 如果 ACKless FIN 仍然发生，则必须跟踪 FIN 段，回复确定段的合法性。

我即将在异构网络中在全国范围内推出入侵检测，并且担心在 2019 年今天合法地遇到此类数据包。

我在这个网站上问是因为只有coalface的网络工程师才能回答。

历史笔记

100 点赏金无法挖掘出这样的细分市场。