Ich wollte nur wissen, was genau der FIN-Angriff ist. Ich kenne das FIN-Flag, mit dem das Schließen einer Verbindung über TCP angezeigt wird. Aber was genau ist ein FIN-Angriff?
Kommentare
- Haben Sie selbst recherchiert? Wie haben Sie von dem “ FIN-Angriff “ erfahren?
- Grundsätzlich wurde er in einer Aufgabe angegeben. Ich habe etwas gelesen, bin aber nur auf FIN als Flag im TCP-Header gestoßen. Aber nichts über einen FIN-Angriff.
- Dann könnten Sie von Ihrem Ausbilder weitere Details zum Begriff “ FIN-Angriff „? Es gibt Scans und Überschwemmungen, aber ich ‚ bin mir nicht sicher, ob ich eine dieser beiden als “ Angriffe
- Wenn Sie die beiden Fragen zu dieser Antwort lesen, werden Sie feststellen, dass davon ausgegangen wird, dass Sie einen FIN-Scan meinen. Scans sind keine Angriffe. Meinst du FIN-Scan oder bekommst du immer noch nicht die Antworten, die du brauchst …?
- Ja, das habe ich mir gedacht. Ich habe immer noch nicht ‚ viele Informationen darüber, aber ich denke, es werden im Grunde genommen die FIN-Pakete verwendet, um irgendwo ein Loch zu finden, da es manchmal in der Lage sein kann, Firewalls zu umgehen.
Antwort
Es handelt sich um einen älteren Angriff, der ursprünglich als „hinterhältiger Firewall-Bypass“ gedacht war und von einigen Faktoren abhängig war sind heutzutage ungewöhnlich: alte Unix-Betriebssysteme, fehlende Stateful Firewalls, fehlende NIDS / NIPS usw. Es kann immer noch nützlich sein, wenn völlig neue oder neuartige TCP / IP-Stacks getestet werden (dh als Fingerabdrucktechnik kein Angriff an sich) (oder nur neu für Sie oder Ihre Umgebung), was selten vorkommt, aber passieren kann.
Hier ist ein moderner Ersatz, der TCP-Protokoll-Scan:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
Dies entspricht fast genau dem TCP-ACK-Scan (mit dem Hosts, offene Ports, Firewall-Regelsätze usw. mit der Einschränkung zugeordnet werden können, die einige NIPS, IDS und moderne Firewalls erkennen – mit einem anderen situationsspezifisches Ereignis, bei dem ich vielleicht t benachrichtigt keine Einsatzkräfte oder Sicherheitsbetriebszentren, da sie heutzutage wichtigere Dinge zu beachten haben:
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
Aber die Ausgaben sind etwas anders und Sie Sie können auch die anderen Unterschiede auf Paketebene erkennen.
Um eine fortgeschrittenere Technik zu entwickeln, müssen Sie die Feinheiten in den RST-Paketen und ihre Fenstergrößen identifizieren. Wenn Sie Fenstergrößen ungleich Null erhalten, möchten Sie möglicherweise zur Verwendung des TCP-Fensterscans anstelle des TCP-ACK-Scans wechseln. Weitere Informationen finden Sie unter http://nmap.org/book/man-port-scanning-techniques.html
Einige andere Techniken finden Sie in der NSE-Handbuch , z. B. die Firewalk- und Firewall-Bypass-Skripte. Es gibt jedoch viele andere Techniken, einschließlich BNAT, fragroute, osstmm-afd, 0trace, lft und möglicherweise andere, die andere Inline-Geräte ohne Firewall wie WAFs, IDS, IPS, Reverse-Proxys, Gateways und Täuschungssysteme wie z Honigtöpfe oder aktive Abwehrkräfte. Sie sollten sich all dessen und mehr bewusst sein, wenn Sie einen Netzwerkpenetrationstest durchführen. Diese sind jedoch nützlich, um alle Arten von Netzwerk- und Sicherheitsproblemen zu beheben.
Kommentare
- Ich weiß Ihre Antwort zu schätzen, aber ich verstehe immer noch nicht, was ein FIN-Angriff ist. ‚ Oh, liebe Nmaps: D
- Ich denke, die Kurzversion ist, Sie senden eine FIN, die nicht ‚ zu einer Sitzung gehört, und lernen aus der Antwort, die Sie erhalten erhalten. Der Rest der Antwort von @atdre ‚ ist gut genug. Ich ‚ möchte nur sehen, wie er dieses Detail hinzufügt.
- Ja, klingt genau richtig. Ich versuche nur herauszufinden, wie der FIN-Scan auf Angriffsart verwendet werden kann.
Antwort
FIN-Angriff (ich nehme an, Sie meinen FIN-Scan) ist eine Art von TCP-Port-Scan.
Laut RFC 793: „Der Datenverkehr zu einem geschlossenen Port sollte immer RST zurückgeben“. RFC 793 gibt auch an, ob ein Port offen ist und für das Segment kein Flag SYN, RST oder ACK gesetzt ist. Das Paket sollte verworfen werden. Es könnte sich um ein altes Datagramm aus einer bereits geschlossenen Sitzung handeln.
Der FIN-Angriff missbraucht dies also. Wenn wir ein FIN-Paket an einen geschlossenen Port senden, erhalten wir eine RST zurück. Wenn wir keine Antwort erhalten, wissen wir, dass diese entweder von der Firewall gelöscht wird oder der Port offen ist. Außerdem ist der FIN-Angriff unsichtbarer als der SYN-Scan (Senden von SYN, um die Antwort anzuzeigen).
Viele Systeme geben jedoch immer RST zurück. Und dann ist es nicht möglich zu wissen, ob der Port offen oder geschlossen ist, zum Beispiel Windows, aber nicht UNIX.
Kommentare
- Hmmmmm, es wird also im Grunde gesendet, um eine Antwort zu erhalten, damit der “ Angreifer “ und wissen, was zu tun ist?
- Ja, Sie prüfen den Zielcomputer auf offene Ports. Dies könnte von einem Administrator oder einem Angreifer durchgeführt werden, um Schwachstellen zu finden.
- Oh, ja. Ich habe das Gleiche gedacht. Benötigte jedoch eine Bestätigung.
Antwort
FIN-Scans als NULL-, XMAS- oder benutzerdefinierte Flags-Scans – waren und– werden verwendet, um die Firewall zu umgehen und manchmal IDS zu umgehen. Ich zitiere:
FIN-Scan: Der Hauptvorteil Zu diesen Scan-Typen gehört, dass sie sich durch bestimmte nicht zustandsbehaftete Firewalls und Paketfilter-Router schleichen können. Solche Firewalls versuchen, eingehende TCP-Verbindungen zu verhindern (während ausgehende Verbindungen zugelassen werden). Um die volle Firewall-Bypass-Leistung dieser Scans zu demonstrieren, ist eine eher lahme Ziel-Firewall-Konfiguration erforderlich. Bei einer modernen Stateful Firewall sollte ein FIN-Scan keine zusätzlichen Informationen liefern.
SYN / FIN Ein interessanter benutzerdefinierter Scan-Typ ist SYN / FIN. Manchmal versucht ein Firewall-Administrator oder Gerätehersteller, eingehende Verbindungen mit einer Regel zu blockieren, z. B. „Alle eingehenden Pakete nur mit dem eingestellten SYN Hag löschen“. Sie beschränken sich nur auf das SYN-Flag, da sie die SYN / ACK-Pakete, die als zweiter Schritt einer ausgehenden Verbindung zurückgegeben werden, nicht blockieren möchten. Das Problem bei diesem Ansatz besteht darin, dass die meisten Endsysteme anfängliche SYN-Pakete akzeptieren, die enthalten Auch andere (Nicht-ACK-) Flags. Beispielsweise sendet das Nmap OS-Fingerabdrucksystem ein SYN / FIN / URG / PSH-Paket an einen offenen Port. Mehr als die Hälfte der Fingerabdrücke in der Datenbank antworten mit einem SYN / ACK Sie ermöglichen das Scannen von Ports mit diesem Paket und im Allgemeinen auch das Herstellen einer vollständigen TCP-Verbindung. Es ist sogar bekannt, dass einige Systeme mit SYN / ACK auf ein SYN / RST-Paket reagieren! Der TCP-RFC ist nicht eindeutig, welche Flags in einer Initiale akzeptabel sind SYN-Paket, obwohl SYN / RST sicherlich falsch erscheint. Beispiel 5.13 zeigt, wie Ereet einen erfolgreichen SYNIFIN-Scan von Google durchführt. Scanme.nmap.org langweilt ihn anscheinend.
NMAP Network Discovery von Gordon „Fyodor“ Lyon