Je voulais juste savoir ce quest exactement lattaque FIN. Je connais le drapeau FIN utilisé pour indiquer la fermeture dune connexion via TCP. Mais quest-ce que lattaque FIN exactement?

Commentaires

  • Avez-vous fait des recherches vous-même? Comment avez-vous entendu parler de l  » attaque FIN « ?
  • Fondamentalement, elle a été donnée dans un devoir. Jai fait des lectures mais je nai rencontré FIN que comme indicateur dans len-tête TCP. Mais rien sur une attaque FIN.
  • Pourriez-vous alors obtenir plus de détails de votre instructeur sur le terme  » FIN Attack « ? Il y a des scans et des inondations, mais je ‘ ne suis pas sûr de décrire lun ou lautre comme des  » attaques  »
  • Si vous lisez les 2 questions de cette réponse, vous verrez quelles supposent que vous voulez dire une analyse FIN. Les scans ne sont pas des attaques. Voulez-vous dire scan FIN, ou nobtenez-vous toujours pas les réponses dont vous avez besoin …?
  • Ouais, jai pensé à cela. Je nai toujours pas ‘ beaucoup dinformations là-dessus, mais je suppose quil utilise essentiellement les paquets FIN pour trouver un trou quelque part car il peut parfois contourner les pare-feu.

Réponse

Il sagit dune attaque plus ancienne destinée à lorigine à être un « contournement sournois du pare-feu » qui dépendait de quelques facteurs qui sont maintenant rares aujourdhui: anciens systèmes dexploitation Unix, manque de pare-feu avec état, manque de NIDS / NIPS, etc. Cela peut toujours être utile lors de tests (cest-à-dire en tant que technique dempreintes digitales et non une attaque en soi) des piles TCP / IP complètement nouvelles ou nouvelles (ou tout simplement nouveau pour vous ou votre environnement), ce qui est rare mais peut arriver.

Voici un remplacement moderne, le scan du protocole TCP: 

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>

Ce qui est presque exactement le même que le scan TCP ACK (qui peut être utilisé pour mapper les hôtes, ouvrir les ports, les règles de pare-feu, etc. avec la mise en garde que certains NIPS, IDS et pare-feu modernes détecteront – avec un autre événement spécifique à une situation où peut-être je t ne notifiera pas les intervenants en cas dincident ou les centres dopérations de sécurité car ils ont des choses plus importantes à examiner ces jours-ci): 

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>

Mais les résultats sont légèrement différents et vous peut également voir les autres différences au niveau des paquets.

Ce que vous recherchez afin de développer une technique plus avancée est didentifier les subtilités des paquets RST et leurs tailles de fenêtre. Si vous obtenez des tailles de fenêtre différentes de zéro, vous souhaiterez peut-être utiliser lanalyse de fenêtre TCP au lieu de lanalyse TCP ACK. Pour plus dinformations, consultez http://nmap.org/book/man-port-scanning-techniques.html

Dautres techniques se trouvent dans le Guide NSE , comme les scripts de pare-feu et de contournement de pare-feu. Cependant, il existe de nombreuses autres techniques, y compris BNAT, fragroute, osstmm-afd, 0trace, lft et potentiellement dautres qui détectent dautres périphériques en ligne sans pare-feu tels que les WAF, IDS, IPS, les proxies inverses, les passerelles et les systèmes de tromperie tels que pots de miel ou défenses actives. Vous voudrez être conscient de tout cela et plus encore si vous effectuez un test de pénétration du réseau, mais ils sont utiles pour résoudre toutes sortes de problèmes de réseau et de sécurité.

Commentaires

  • Japprécie votre réponse, mais je ne comprends toujours pas ‘ ce quest une attaque FIN. Oh, jadore les Nmaps cependant: D
  • Je pense que la version courte est, vous envoyez un FIN qui nappartient pas ‘ à une session et apprenez de la réponse que vous obtenir. Le reste de la réponse de @atdre ‘ est assez bonne. Je ‘ voudrais simplement le voir ajouter ce détail.
  • Ouais, ça sonne à peu près juste. Jessaie juste de comprendre comment utiliser lanalyse FIN dune manière dattaque.

Réponse

FIN Attack (je suppose que vous voulez dire FIN Scan) est un type de scan de port TCP.

Selon RFC 793: « Le trafic vers un port fermé doit toujours retourner RST ». La RFC 793 indique également si un port est ouvert et si le segment na pas dindicateur SYN, RST ou ACK défini. Le paquet doit être abandonné. Ce pourrait être un ancien datagramme dune session déjà fermée.

Donc, lattaque FIN fait en abuser. Si nous envoyons un paquet FIN à un port fermé, nous récupérons un RST. Si nous nobtenons aucune réponse, nous savons que soit abandonné par le pare-feu, soit le port est ouvert. En outre, lattaque FIN est plus invisible que le scan SYN (envoi de SYN pour voir la réponse).

Cependant, de nombreux systèmes retournent toujours RST. Et puis il nest pas possible de savoir si le port est ouvert ou fermé, par exemple Windows le fait mais pas UNIX.

Commentaires

  • Hmmmmm, donc il est essentiellement envoyé pour obtenir une réponse donc l  » attaquant  » et savez quoi faire?
  • Oui, vous testez la machine cible pour les ports ouverts. Cela pourrait être effectué par un administrateur ou un attaquant pour trouver des vulnérabilités.
  • Oh, oui .. Je pensais la même chose. Mais il fallait une confirmation.

Réponse

Analyses FIN, comme des analyses NULL, XMAS ou des indicateurs personnalisés – étaient et– sont utilisés pour contourner le pare-feu et parfois éviter les IDS, je cite:

FIN Scan: Le principal avantage à ces types danalyse est quils peuvent se faufiler à travers certains pare-feu non-stateful et routeurs de filtrage de paquets. De tels pare-feu tentent dempêcher les connexions TCP entrantes (tout en autorisant les connexions sortantes). La démonstration de la pleine puissance de contournement du pare-feu de ces analyses nécessite une configuration de pare-feu cible plutôt boiteuse. Avec un pare-feu moderne avec état, une analyse FIN ne devrait pas produire dinformations supplémentaires.

SYN / FIN Un type danalyse personnalisé intéressant est SYN / FIN. Parfois, un administrateur de pare-feu ou un fabricant de périphérique tentera de bloquer les connexions entrantes avec une règle telle que «supprimer tous les paquets entrants avec uniquement le paramètre SYN Hag». Ils le limitent uniquement à lindicateur SYN car ils ne veulent pas bloquer les paquets SYN / ACK qui sont renvoyés comme deuxième étape dune connexion sortante. Le problème avec cette approche est que la plupart des systèmes finaux accepteront les paquets SYN initiaux qui contiennent dautres indicateurs (non-ACK) également. Par exemple, le système dempreintes digitales Nmap OS envoie un paquet SYN / FIN / URG / PSH à un port ouvert. Plus de la moitié des empreintes digitales dans la base de données répondent par un SYN / ACK. Ainsi ils permettent le balayage de port avec ce paquet et permettent généralement détablir une connexion TCP complète aussi. Certains systèmes sont même connus pour répondre avec SYN / ACK à un paquet SYN / RST! Le RFC TCP est ambigu quant aux indicateurs acceptables dans un premier temps Paquet SYN, bien que SYN / RST semble certainement faux. Lexemple 5.13 montre quEreet effectue un scan SYNIFIN réussi de Google. Il sennuie apparemment avec scanme.nmap.org.

Découverte du réseau NMAP par Gordon « Fyodor » Lyon

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *