Solo quería saber qué es exactamente el ataque FIN. Conozco la bandera FIN que se usa para indicar el cierre de una conexión a través de TCP. Pero, ¿qué es exactamente el ataque FIN?
Comentarios
- ¿Ha realizado alguna investigación por su cuenta? ¿Cómo se enteró del » ataque FIN «?
- Básicamente se le dio en una tarea. He estado leyendo un poco, pero solo he encontrado FIN como una bandera en el encabezado TCP. Pero nada sobre un ataque FIN.
- Entonces, ¿podría obtener más detalles de su instructor sobre el término » Ataque FIN «? Hay escaneos e inundaciones, pero ‘ no estoy seguro de describir ninguno de ellos como » ataques »
- Si lees las 2 preguntas de esta respuesta, verás que están asumiendo que te refieres a un escaneo FIN. Los escaneos no son ataques. ¿Te refieres al escaneo FIN, o todavía no obtienes las respuestas que necesitas …?
- Sí, me lo imaginé. Todavía ‘ no voy a obtener mucha información, pero me imagino que básicamente está usando los paquetes FIN para encontrar un agujero en alguna parte, ya que a veces puede evitar los firewalls.
Respuesta
Es un ataque antiguo que originalmente tenía la intención de ser un «desvío de firewall furtivo» que dependía de algunos factores que ahora son poco comunes en la actualidad: sistemas operativos Unix antiguos, falta de firewalls con estado, falta de NIDS / NIPS, etc. Todavía puede ser útil cuando se prueban (es decir, como una técnica de huellas digitales, no como un ataque en sí) pilas TCP / IP completamente nuevas o novedosas (o simplemente nuevo para usted o su entorno), lo cual es raro pero puede suceder.
Aquí hay un reemplazo moderno, el escaneo del protocolo TCP:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
Que es casi exactamente lo mismo que el escaneo TCP ACK (que se puede usar para mapear hosts, puertos abiertos, conjuntos de reglas de firewall, etc.) con la advertencia de que algunos NIPS, IDS y firewalls modernos detectarán, con otro evento específico de la situación donde quizás yo No notificará al personal de respuesta a incidentes ni a los centros de operaciones de seguridad porque tienen cosas más importantes que considerar en estos días):
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
Pero los resultados son ligeramente diferentes y usted También puede ver las otras diferencias a nivel de paquete.
Lo que está buscando para desarrollar una técnica más avanzada es identificar las sutilezas en los paquetes RST y sus tamaños de ventana. Si obtiene tamaños de ventana distintos de cero, es posible que desee cambiar a la exploración de ventana TCP en lugar de la exploración TCP ACK. Para obtener más información, consulte http://nmap.org/book/man-port-scanning-techniques.html
Algunas otras técnicas se encuentran en el guía NSE , como las secuencias de comandos firewalk y firewall-bypass. Sin embargo, existen muchas otras técnicas que incluyen BNAT, fragroute, osstmm-afd, 0trace, lft y potencialmente otras que detectan otros dispositivos en línea que no son firewall, como WAF, IDS, IPS, proxies inversos, puertas de enlace y sistemas de engaño como honeypots o defensas activas. Querrá estar al tanto de todo esto y más si está realizando una prueba de penetración de la red, pero son útiles para solucionar todo tipo de problemas de red y seguridad.
Comentarios
- Aprecio tu respuesta, pero todavía no ‘ entiendo lo que es un ataque FIN. Oh, me encantan los Nmaps: D
- Creo que la versión corta es, envías un FIN que no ‘ t pertenece a una sesión y aprendes de la respuesta que obtener. El resto de la respuesta de @atdre ‘ es suficientemente buena. ‘ me gustaría verlo agregar este detalle.
- Sí, suena bastante bien … Solo estoy tratando de averiguar cómo usar el escaneo FIN de una manera de ataque.
Respuesta
FIN Attack (supongo que te refieres a FIN Scan) es un tipo de escaneo de puertos TCP.
Según RFC 793: «El tráfico a un puerto cerrado siempre debe devolver RST». RFC 793 también indica si un puerto está abierto y el segmento no tiene el indicador SYN, RST o ACK establecido. El paquete debe descartarse. Podría ser un datagrama antiguo de una sesión ya cerrada.
Entonces, lo que hace el ataque FIN es abusar de esto. Si enviamos un paquete FIN a un puerto cerrado, obtenemos un RST. Si no obtenemos respuesta, sabemos que el firewall lo ha eliminado o que el puerto está abierto. Además, el FIN Attack es más invisible que el SYN Scan (enviando SYN para ver la respuesta).
Sin embargo, muchos sistemas siempre devuelven RST. Y luego no es posible saber si el puerto está abierto o cerrado, por ejemplo, Windows lo hace pero no UNIX.
Comentarios
- Hmmmmm, por lo que básicamente se envía para obtener una respuesta para que el » atacante » y sabe qué hacer?
- Sí, prueba la máquina de destino en busca de puertos abiertos. Esto podría ser realizado por un administrador o un atacante para encontrar vulnerabilidades.
- Oh, sí … Estaba pensando lo mismo. Pero necesitaba alguna confirmación.
Responder
Exploraciones FIN, como NULL, XMAS o exploraciones de banderas personalizadas – were y– se utilizan para eludir el firewall y, a veces, eludir los IDS, cito:
FIN Scan: la ventaja clave A estos tipos de análisis es que pueden colarse a través de ciertos cortafuegos sin estado y enrutadores de filtrado de paquetes. Dichos cortafuegos intentan evitar las conexiones TCP entrantes (mientras que permiten las salientes). Demostrar el poder total de estas exploraciones para evitar el cortafuegos requiere una configuración de cortafuegos de destino bastante poco convincente. Con un firewall con estado moderno, un escaneo FIN no debería producir ninguna información adicional.
SYN / FIN Un tipo de escaneo personalizado interesante es SYN / FIN. A veces, un administrador de firewall o un fabricante de dispositivos intentará bloquear las conexiones entrantes con una regla como «descartar cualquier paquete entrante con solo el conjunto SYN Hag». Lo limitan solo al indicador SYN porque no quieren bloquear los paquetes SYN / ACK que se devuelven como segundo paso de una conexión saliente. El problema con este enfoque es que la mayoría de los sistemas finales aceptarán paquetes SYN iniciales que contengan otros indicadores (no ACK) también. Por ejemplo, el sistema de huellas dactilares del sistema operativo Nmap envía un paquete SYN / FIN / URG / PSH a un puerto abierto. Más de la mitad de las huellas dactilares en la base de datos responden con un SYN / ACK. permiten el escaneo de puertos con este paquete y, en general, también permiten realizar una conexión TCP completa. ¡Incluso se sabe que algunos sistemas responden con SYN / ACK a un paquete SYN / RST! El RFC de TCP es ambiguo en cuanto a qué indicadores son aceptables en una inicial Paquete SYN, aunque SYN / RST ciertamente parece falso. El ejemplo 5.13 muestra a Ereet realizando un escaneo SYNIFIN exitoso de Google. Aparentemente se está aburriendo con scanme.nmap.org.
Descubrimiento de la red NMAP por Gordon «Fyodor» Lyon