FIN攻撃とは正確に何であるかを知りたかっただけです。 TCP経由の接続の終了を示すために使用されるFINフラグについて知っています。しかし、FIN攻撃とは正確には何ですか?
コメント
- 自分で調査を行ったことはありますか? " FIN攻撃"についてどのように知りましたか?
- 基本的には課題で与えられました。いくつかの読み取りを行ってきましたが、TCPヘッダーのフラグとしてFINに遭遇しただけです。ただし、FIN攻撃については何もありません。
- 次に、" FIN攻撃"?スキャンとフラッドがありますが、'どちらかを"攻撃として説明するかどうかはわかりません"
- この回答に対する2つの質問を読むと、FINスキャンを意味していると想定していることがわかります。スキャンは攻撃ではありません。 FINスキャンのことですか、それともまだ必要な答えが得られないのですか…?
- ええ、私はそれだけ考えました。 'まだ多くの情報はありませんが、ファイアウォールをバイパスできる場合があるため、基本的にFINパケットを使用してどこかに穴を見つけると考えています。
回答
これは、もともと「卑劣なファイアウォールバイパス」を目的とした古い攻撃であり、いくつかの要因に依存していました。現在では珍しいことです。古いUnixOS、ステートフルファイアウォールの欠如、NIDS / NIPSの欠如など。これは、まったく新しいまたは新しいTCP / IPスタックをテストする場合(つまり、攻撃自体ではなくフィンガープリント技術として)に役立つ可能性があります。 (またはあなたやあなたの環境にとって初めてのことです)、これはまれですが発生する可能性があります。
これが最新の代替品であるTCPプロトコルスキャンです:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
これはTCPACKスキャンとほぼ同じです(ホスト、開いているポート、ファイアウォールルールセットなどをマッピングするために使用できますが、一部のNIPS、IDS、および最新のファイアウォールが検出する警告があります-別のおそらく私がいる状況固有のイベントインシデントレスポンダーやセキュリティオペレーションセンターには、最近注目すべき重要事項があるため、通知しません):
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
ただし、出力はわずかに異なり、他のパケットレベルの違いも確認できます。
より高度な手法を開発するために探しているのは、RSTパケットの微妙な点とそのウィンドウサイズを特定することです。ウィンドウサイズがゼロ以外の場合は、TCPACKスキャンの代わりにTCPウィンドウスキャンを使用するように切り替えることをお勧めします。詳細については、 http://nmap.org/book/man-port-scanning-techniques.html
を参照してください。
NSEガイド。ただし、BNAT、fragroute、osstmm-afd、0trace、lftなど、WAF、IDS、IPS、リバースプロキシ、ゲートウェイ、詐欺システムなどの他のインラインの非ファイアウォールデバイスを検出する可能性のある他の多くの手法があります。ハニーポットまたはアクティブな防御。ネットワーク侵入テストを実行する場合は、これらすべてに注意する必要がありますが、これらはあらゆる種類のネットワークおよびセキュリティの問題のトラブルシューティングに役立ちます。
コメント
- 回答に感謝しますが、それでも' FIN攻撃が何であるかわかりません。ああ、Nmapsが大好きです:D
- 短いバージョンは、セッションに属していない' FINを送信し、応答から学習します。取得する。 @atdre 'の残りの回答は十分です。'彼にこの詳細を追加してもらいたいのです。
- ええ、ちょうどいいですね。FINスキャンを攻撃的に使用する方法を理解しようとしているだけです。