Halusin vain tietää, mikä on FIN-hyökkäys. Tiedän FIN-lipusta, jota käytetään osoittamaan yhteyden sulkeminen TCP: n kautta. Mutta mikä on FIN-hyökkäys?
Kommentit
- Oletko tehnyt itse tutkimusta? Kuinka kuulit ” FIN-hyökkäyksestä ”?
- Se annettiin periaatteessa tehtävässä. HAe on lukenut jonkin verran, mutta on kohdannut FIN: n vain lippuna TCP-otsikossa. Mutta mikään FIN-hyökkäys.
- Voisitko sitten saada lisätietoja ohjaajalta termistä ” FIN Attack ”? Skannauksia ja tulvia on, mutta en ’ en ole varma, kuvailisin kumpaakaan näistä ” -hyökkäyksinä ”
- Jos luet tämän vastauksen kaksi kysymystä, huomaat, että niiden oletetaan tarkoittavan FIN-skannausta. Skannaukset eivät ole hyökkäyksiä. Tarkoitatko FIN-skannausta vai etkö vieläkään saa tarvitsemiasi vastauksia …?
- Joo, ajattelin niin paljon. Silti ei ole ’ t paljon tietoa siitä, mutta luulen, että se käyttää pohjimmiltaan FIN-paketteja reiän löytämiseen jonnekin, koska se voi joskus pystyä ohittamaan palomuurit.
vastaus
Se on vanhempi hyökkäys, jonka alun perin oli tarkoitus olla ”salama palomuurin ohitus”, joka riippui muutamista tekijöistä, jotka ovat nykyään melko harvinaisia: vanhat Unix-käyttöjärjestelmät, tilallisten palomuurien puute, NIDS / NIPS-puute jne. Se voi silti olla hyödyllistä testattaessa (eli sormenjälkitekniikkana, ei hyökkäyksenä sinänsä) täysin uusia tai uusia TCP / IP-pinoja (tai vain uutta sinulle tai ympäristöllesi), mikä on harvinaista, mutta voi myös tapahtua.
Tässä on moderni korvaus, TCP-protokollan tarkistus:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
Mikä on melkein täsmälleen sama kuin TCP ACK -skannaus (jota voidaan käyttää isäntien, avattujen porttien, palomuurisääntöjoukkojen jne. kartoittamiseen varoituksella, jonka jotkut NIPS-, IDS- ja modernit palomuurit havaitsevat – toisen kanssa tilannekohtainen tapahtuma, jossa ehkä minä t ei ilmoita tapahtumahenkilöille tai turvaoperaatiokeskuksille, koska heillä on nykyään tärkeämpiä asioita:
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
Mutta tuotokset ovat hieman erilaisia ja sinä voi nähdä myös muut pakettitason erot.
Etsitkö kehittyneempää tekniikkaa on tunnistaa RST-pakettien hienovaraisuudet ja niiden ikkunakoot. Jos ikkunan koot ovat nollasta poikkeavat, kannattaa ehkä siirtyä käyttämään TCP-ikkunan skannausta TCP ACK -skannauksen sijaan. Lisätietoja on artikkelissa http://nmap.org/book/man-port-scanning-techniques.html
Joitakin muita tekniikoita löytyy osiosta NSE-opas , kuten palomuurin ja palomuurin ohitusskriptit. On kuitenkin olemassa monia muita tekniikoita, mukaan lukien BNAT, fragroute, osstmm-afd, 0trace, lft ja mahdollisesti muut, jotka havaitsevat muut sisäiset, muut kuin palomuurilaitteet, kuten WAF: t, IDS, IPS, käänteiset välityspalvelimet, yhdyskäytävät ja petosjärjestelmät, kuten hunajaruukut tai aktiiviset puolustukset. Haluat olla tietoinen tästä ja muusta, jos suoritat verkon tunkeutumistestiä, mutta ne ovat hyödyllisiä vianmäärityksessä kaikenlaisissa verkko- ja tietoturvaongelmissa.
Kommentit
- Arvostan vastaustasi, mutta en silti saa ’ ymmärtää FIN-hyökkäystä. Voi, rakasta kuitenkin Nmaps: D
- Luulen, että lyhyt versio on, lähetät FIN: n, joka ei ’ kuulu istuntoon ja opi vastauksestasi saada. Loput @atdre ’ vastauksesta on tarpeeksi hyvä. Haluan vain nähdä hänen lisäävän tämän yksityiskohdan.
- Joo, kuulostaa melkein oikealta .. Yritän vain selvittää, kuinka FIN-skannausta käytetään hyökkäystavalla.
Vastaa
FIN Attack (oletan tarkoittavan FIN Scania) on eräänlainen TCP-porttiskannaus.
RFC 793: n mukaan ”Liikenteen suljettuun porttiin tulisi aina palata RST”. RFC 793 ilmoittaa myös, jos portti on auki ja segmentillä ei ole asetettu lippua SYN, RST tai ACK. Paketti tulisi pudottaa. Se voi olla vanha datagrammi jo suljetusta istunnosta.
Joten FIN Attack tekee väärinkäytön. Jos lähetämme FIN-paketin suljettuun porttiin, saamme RST-paluun. Jos emme saa vastausta, tiedämme, että joko palomuuri on pudonnut tai portti on auki. Lisäksi FIN Attack on näkymättömämpi kuin SYN-skannaus (lähettämällä SYN nähdäksesi vastaukset).
Monet järjestelmät palauttavat kuitenkin aina RST: n. Ja sitten ei ole mahdollista tietää, onko portti auki vai kiinni, esimerkiksi Windows tekee tämän, mutta ei UNIX.
kommentit
- Hmmmmm, joten se lähetetään periaatteessa vastauksen saamiseksi, joten ” hyökkääjä ” ja tiedät mitä tehdä?
- Kyllä, tutkit kohdekoneessa avoimia portteja. Tämän voi tehdä järjestelmänvalvoja tai hyökkääjä haavoittuvuuksien löytämiseksi.
- Voi kyllä .. Ajattelin samaa. Tarvitsi kuitenkin vahvistuksen.
Vastaa
FIN skannaa, kun NULL, XMAS tai custom-flags skannaa – olivat ja– käytetään palomuurin ohittamiseen ja joskus IDS: n kiertämiseen, lainaan:
FIN Scan: Tärkein etu näihin skannaustyyppeihin on se, että he voivat hiipiä tiettyjen ei-tilattavien palomuurien ja pakettisuodatusreitittimien läpi. Tällaiset palomuurit yrittävät estää saapuvia TCP-yhteyksiä (sallien samalla lähtevät). Näiden tarkistusten täyden, palomuurin ohittavan tehon osoittaminen vaatii melko ontoman kohdepalomäärityksen. Nykyaikaisella tilaisella palomuurilla FIN-skannauksen ei pitäisi tuottaa mitään ylimääräistä tietoa.
SYN / FIN Yksi mielenkiintoinen mukautettu skannaustyyppi on SYN / FIN. Joskus palomuurin järjestelmänvalvoja tai laitevalmistaja yrittää estää saapuvat yhteydet säännöllä, kuten ”pudota kaikki saapuvat paketit vain SYN Hag -joukolla”. He rajoittavat sen vain SYN-lippuun, koska he eivät halua estää SYN / ACK-paketteja, jotka palautetaan lähtevän yhteyden toisena vaiheena. Tämän lähestymistavan ongelmana on, että useimmat loppujärjestelmät hyväksyvät alkuperäiset SYN-paketit, jotka sisältävät myös muut (ei-ACK) liput. Esimerkiksi Nmap OS -sormenjälkijärjestelmä lähettää SYN / FIN / URG / PSH-paketin avoimeen porttiin. Yli puolet tietokannan sormenjäljistä vastaa SYN / ACK: lla. ne sallivat porttiskannauksen tällä paketilla ja mahdollistavat yleensä myös täydellisen TCP-yhteyden muodostamisen.Joiden järjestelmien on jopa tiedetty vastaavan SYN / ACK: lla SYN / RST-pakettiin! SYN-paketti, vaikkakin SYN / RST näyttää varmasti väärältä. Esimerkki 5.13 osoittaa Ereetin suorittavan onnistuneen SYNIFIN-skannauksen Googlesta. Hän ilmeisesti kyllästyy scanme.nmap.org -palveluun.
NMAP Network Discovery, kirjoittanut Gordon ”Fyodor” Lyon