FIN Attack- Cosè veramente questo tipo di attacco?

Si tratta di un vecchio attacco originariamente inteso come “subdolo bypass del firewall” che dipendeva da alcuni fattori che sono ormai rari oggi: vecchi sistemi operativi Unix, mancanza di firewall con stato, mancanza di NIDS / NIPS, ecc. Può ancora essere utile durante il test (cioè, come tecnica di impronte digitali non un attacco di per sé) stack TCP / IP completamente nuovi o nuovi (o solo nuovo per te o il tuo ambiente), il che è raro ma può accadere.

Ecco una sostituzione moderna, la scansione del protocollo TCP:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

Che è quasi esattamente la stessa della scansione ACK TCP (che può essere utilizzata per mappare host, porte aperte, set di regole del firewall, ecc. con lavvertenza che alcuni NIPS, IDS e firewall moderni rileveranno – con un altro evento specifico della situazione in cui forse i t non notificherà i soccorritori agli incidenti o i Security Operations Center perché hanno cose più importanti da guardare in questi giorni):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

Ma i risultati sono leggermente diversi e tu può vedere anche le altre differenze a livello di pacchetto.

Quello che stai cercando per sviluppare una tecnica più avanzata è identificare le sottigliezze nei pacchetti RST e le loro dimensioni di finestra. Se ottieni dimensioni della finestra diverse da zero, potresti voler passare allutilizzo della scansione della finestra TCP invece della scansione ACK TCP. Per ulteriori informazioni, vedere http://nmap.org/book/man-port-scanning-techniques.html

Alcune altre tecniche si trovano nel Guida NSE , come gli script firewalk e firewall-bypass. Tuttavia, esistono molte altre tecniche tra cui BNAT, fragroute, osstmm-afd, 0trace, lft e potenzialmente altre che rilevano altri dispositivi in linea non firewall come WAF, IDS, IPS, proxy inversi, gateway e sistemi di inganno come honeypot o difese attive. Dovrai essere consapevole di tutto questo e altro se stai eseguendo un test di penetrazione della rete, ma sono utili per risolvere tutti i tipi di problemi di rete e di sicurezza.

Commenti

• Apprezzo la tua risposta, ma ancora ‘ non capisco cosè un attacco FIN. Oh, adoro Nmaps però: D
• Penso che la versione breve sia che tu mandi una FIN che ‘ non appartiene a una sessione e impari dalla risposta che ottenere. Il resto della risposta di @atdre ‘ è abbastanza buona. ‘ vorrei che aggiungesse questo dettaglio.
• Sì, sembra giusto … Sto solo cercando di capire come utilizzare la scansione FIN in modo di attacco.

FIN Attack (presumo tu intenda FIN Scan) è un tipo di TCP Port Scanning.

Secondo RFC 793: “Il traffico verso una porta chiusa dovrebbe sempre restituire RST”. RFC 793 indica anche se una porta è aperta e il segmento non ha il flag SYN, RST o ACK impostato. Il pacchetto dovrebbe essere eliminato. Potrebbe essere un vecchio datagramma di una sessione già chiusa.

Quindi ciò che fa lattacco FIN è abusarne. Se inviamo un pacchetto FIN a una porta chiusa, otteniamo indietro un RST. Se non otteniamo risposta, sappiamo che è stato eliminato dal firewall o che la porta è aperta. Inoltre, lattacco FIN è più invisibile della scansione SYN (inviando SYN per vedere la risposta).

Tuttavia, molti sistemi restituiscono sempre RST. E poi non è possibile sapere se la porta è aperta o chiusa, ad esempio Windows lo fa ma non UNIX.

Commenti

• Hmmmmm, quindi fondamentalmente viene inviato per ottenere una risposta, quindi l ” aggressore ” e sai cosa fare?
• Sì, esamini la macchina di destinazione per le porte aperte. Questo potrebbe essere eseguito da un amministratore o da un utente malintenzionato per trovare le vulnerabilità.
• Oh, sì .. stavo pensando la stessa cosa. Ma necessitava di qualche conferma.

Scansioni FIN, come scansioni NULL, XMAS o flag personalizzate – erano e– sono usati per aggirare il firewall e talvolta eludere IDS, cito:

FIN Scan: il vantaggio principale a questi tipi di scansione è che possono intrufolarsi attraverso determinati firewall non stateful e router di filtraggio dei pacchetti. Tali firewall tentano di impedire le connessioni TCP in entrata (consentendo nel contempo quelle in uscita). La dimostrazione della piena potenza di bypass del firewall di queste scansioni richiede una configurazione del firewall di destinazione piuttosto debole. Con un moderno firewall stateful, una scansione FIN non dovrebbe produrre alcuna informazione aggiuntiva.

SYN / FIN Un tipo di scansione personalizzata interessante è SYN / FIN. A volte un amministratore del firewall o un produttore di dispositivi tenterà di bloccare le connessioni in entrata con una regola come “rilascia i pacchetti in entrata con solo il SYN Hag impostato”. Lo limitano al solo flag SYN perché non vogliono bloccare i pacchetti SYN / ACK che vengono restituiti come secondo passaggio di una connessione in uscita. Il problema con questo approccio è che la maggior parte dei sistemi finali accetterà i pacchetti SYN iniziali che contengono anche altri flag (non ACK). Ad esempio, il sistema di fingerprinting del sistema operativo Nmap invia un pacchetto SYN / FIN / URG / PSH a una porta aperta. Più della metà delle impronte nel database risponde con un SYN / ACK. consentono la scansione delle porte con questo pacchetto e generalmente consentono anche di effettuare una connessione TCP completa. Alcuni sistemi sono anche noti per rispondere con SYN / ACK a un pacchetto SYN / RST! La RFC TCP è ambigua su quali flag siano accettabili in un iniziale Pacchetto SYN, anche se SYN / RST sembra certamente fasullo. Lesempio 5.13 mostra Ereet che conduce con successo una scansione SYNIFIN di Google. Apparentemente si sta annoiando con scanme.nmap.org.

NMAP Network Discovery di Gordon “Fyodor” Lyon