Chtěl jsem jen vědět, co přesně je FIN útok. Vím o příznaku FIN, který se používá k indikaci ukončení spojení přes TCP. Ale co přesně je FIN útok?
Komentáře
- Provedli jste nějaký průzkum sami? Jak jste se dozvěděli o “ FIN útoku „?
- V zásadě byl uveden v úkolu. HAve dělal nějaké čtení, ale narazil na FIN pouze jako příznak v hlavičce TCP. Ale nic o FIN útoku.
- Pak byste mohli od svého instruktora získat více podrobností o termínu “ FIN Attack „? Existují kontroly a záplavy, ale já si ‚ nejsem jistý, zda bych některý z nich popsal jako “ útoky “
- Pokud si přečtete 2 otázky k této odpovědi, uvidíte, že předpokládají, že máte na mysli FIN sken. Skeny nejsou útoky. Máte na mysli FIN sken, nebo stále nedostáváte odpovědi, které potřebujete …?
- Jo, to jsem si myslel. Stále o něm ‚ nebudu mít mnoho informací, ale myslím, že jeho v podstatě pomocí paketů FIN je někde najít díru, protože někdy dokáže obejít brány firewall.
Odpověď
Je to starší útok původně zamýšlený jako „záludný obejití brány firewall“, který závisel na několika faktorech, které dnes jsou dnes neobvyklé: staré Unixové OS, nedostatek stavových firewallů, nedostatek NIDS / NIPS atd. To může být stále užitečné při testování (tj. jako technika otisků prstů, nikoli útok jako takový) zcela nových nebo nových zásobníků TCP / IP (nebo pro vás nebo vaše prostředí jen nové), což je vzácné, ale může se to stát.
Toto je moderní náhrada, skenování protokolu TCP:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> Což je téměř úplně stejné jako skenování TCP ACK (které lze použít k mapování hostitelů, otevřených portů, sad pravidel brány firewall atd. s upozorněním, které některé NIPS, IDS a moderní brány firewall detekují – s jiným událost specifická pro situaci, kdy možná i Nebudu upozorňovat osoby odpovědné za incidenty nebo Centra bezpečnostních operací, protože mají v dnešní době na zřetel důležitější věci):
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> Ale výstupy se mírně liší a vy můžete vidět i další rozdíly na úrovni paketů.
To, co hledáte, abyste vyvinuli pokročilejší techniku, je identifikace jemností v paketech RST a jejich velikostí oken. Pokud získáte nenulovou velikost okna, možná budete chtít přepnout na použití skenování okna TCP namísto kontroly TCP ACK. Další informace naleznete v části http://nmap.org/book/man-port-scanning-techniques.html
Některé další techniky najdete v průvodce NSE , například skripty firewallu a bypassu firewallu. Existuje však mnoho dalších technik, včetně BNAT, fragroute, osstmm-afd, 0trace, lft a potenciálně dalších, které detekují další vložená zařízení bez brány firewall, jako jsou WAF, IDS, IPS, reverzní proxy, brány a podvodné systémy, jako například honeypoty nebo aktivní obrana. To vše a ještě více si budete chtít uvědomit, pokud provádíte test penetrace do sítě, ale hodí se pro řešení nejrůznějších problémů se sítí a zabezpečením.
Komentáře
- Vážím si vaší odpovědi, ale přesto ‚ nechápu, jaký je FIN útok. Ach, milujte Nmaps: D
- Myslím, že krátká verze je, pošlete FIN, který ‚ t nepatří do relace a poučíte se z vaší odpovědi dostat. Zbytek odpovědi @atdre ‚ je dost dobrý, rád bych ho ‚ jen viděl přidat tento detail.
- Ano, zní to dobře. Jen se snažím přijít na to, jak použít FIN skenování útočným způsobem.
Odpovědět
FIN Attack (předpokládám, že máte na mysli FIN Scan) je typ skenování portů TCP.
Podle RFC 793: „Provoz na uzavřeném portu by měl vždy vrátit RST“. RFC 793 také uvádí, zda je port otevřený a segment nemá nastaven příznak SYN, RST nebo ACK. Paket by měl být zahozen. Může to být starý datagram z již uzavřené relace.
Takže FIN Attack to dělá tak, že to zneužije. Pokud pošleme paket FIN na uzavřený port, dostaneme zpět RST. Pokud nedostaneme žádnou odpověď, víme, že buď upustil firewall, nebo je port otevřený. FIN Attack je také neviditelnější než SYN Scan (odeslání SYN pro zobrazení odpovědi).
Mnoho systémů však vždy vrátí RST. A pak není možné zjistit, zda je port otevřený nebo uzavřený, například Windows to dělá, ale ne UNIX.
Komentáře
- Hmmmmm, takže je v zásadě zasláno k získání odpovědi, takže “ útočník “ a víte, co dělat?
- Ano, prozkoumáte cílový počítač, zda neobsahuje otevřené porty. To by mohl provést administrátor nebo útočník, aby našel zranitelná místa.
- Ach ano, myslel jsem na totéž. Ale bylo potřeba nějaké potvrzení.
Odpovědět
FIN skenování, jako skenování NULL, XMAS nebo vlastní příznaky – were and– are used for bypassing firewall and sometimes evading IDS, quote:
FIN Scan: The key Výhod u těchto typů skenování je to, že se mohou proklouznout přes určité nestabilní brány firewall a směrovače filtrování paketů. Tyto brány firewall se snaží zabránit příchozím připojením TCP (a zároveň umožňují odchozí). Demonstrace plné síly těchto skenů vyžadujících obejití brány firewall vyžaduje spíše chabou cílovou konfiguraci brány firewall. U moderního stavového firewallu by skenování FIN nemělo vytvářet žádné další informace.
SYN / FIN Jedním zajímavým typem vlastního skenování je SYN / FIN. Někdy se správce brány firewall nebo výrobce zařízení pokusí blokovat příchozí připojení pomocí pravidla, jako je „zahodit všechny příchozí pakety pouze se sadou SYN Hag“. Omezují jej pouze na příznak SYN, protože nechtějí blokovat pakety SYN / ACK, které jsou vráceny jako druhý krok odchozího připojení. Problém tohoto přístupu spočívá v tom, že většina koncových systémů bude přijímat počáteční pakety SYN, které obsahují další (jiné než ACK) příznaky. Například systém otisků prstů Nmap OS odesílá paket SYN / FIN / URG / PSH na otevřený port. Více než polovina otisků prstů v databázi odpovídá pomocí SYN / ACK. umožňují skenování portů s tímto paketem a obecně umožňují také úplné připojení TCP. O některých systémech je dokonce známo, že reagují pomocí SYN / ACK na paket SYN / RST! TCP RFC je nejednoznačné, které příznaky jsou v počátečním stavu přijatelné Paket SYN, i když se SYN / RST rozhodně zdá být falešný. Příklad 5.13 ukazuje, že Ereet provádí úspěšné skenování SYNIFIN z Googlu. Zjevně ho nudí scanme.nmap.org.
NMAP Network Discovery od Gordona „Fyodora“ Lyona