FIN 공격이 정확히 무엇인지 알고 싶었습니다. TCP를 통한 연결 종료를 나타내는 데 사용되는 FIN 플래그에 대해 알고 있습니다. 하지만 FIN 공격이란 정확히 무엇입니까?

댓글

  • 자신이 직접 조사한 적이 있습니까? " FIN 공격 "에 대해 어떻게 알게 되었습니까?
  • 기본적으로 과제에 주어졌습니다. 일부 읽기를 수행했지만 TCP 헤더의 플래그로 FIN 만 발견되었습니다. 하지만 FIN 공격에 대해서는 아무 것도 없습니다.
  • 그런 다음 " FIN 공격 "? 스캔과 플러드가 있지만 ' 둘 중 하나를 " 공격
  • 이 답변에 대한 2 개의 질문을 읽으면 FIN 스캔을 의미한다고 가정하고 있음을 알 수 있습니다. 스캔은 공격이 아닙니다. FIN 스캔을 의미합니까, 아니면 여전히 필요한 답을 얻지 못하고 있습니까 …?
  • 예, 그렇게 많이 생각했습니다. 아직은 '별로 많은 정보를 얻지 못했지만 가끔 방화벽을 우회 할 수 있기 때문에 기본적으로 FIN 패킷을 사용하여 어딘가에 구멍을 찾을 수 있다고 생각합니다.

대답

이것은 원래 “부적절한 방화벽 우회”를 의도 한 오래된 공격으로 다음과 같은 몇 가지 요인에 따라 달라집니다. 현재는 흔하지 않습니다 : 오래된 Unix OS, 상태 저장 방화벽 부족, NIDS / NIPS 부족 등. 완전히 새롭거나 새로운 TCP / IP 스택을 테스트 할 때 (즉, 공격 자체가 아닌 핑거 프린팅 기술로) 여전히 유용 할 수 있습니다. (또는 귀 하나 귀하의 환경에 익숙하지 않은 경우) 드물지만 발생할 수 있습니다.

다음은 최신 대체 TCP 프로토콜 스캔입니다.

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

TCP ACK 스캔과 거의 정확히 동일합니다 (일부 NIPS, IDS 및 최신 방화벽이 탐지 할 수 있다는주의 사항과 함께 호스트, 열린 포트, 방화벽 규칙 세트 등을 매핑하는 데 사용할 수 있음). 아마도 내가 t는 사건 대응 자나 보안 운영 센터에 알리지 않을 것입니다. 요즈음에는 더 중요한 사항을 확인해야하기 때문입니다) :

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

그러나 출력은 약간 다르며 사용자는 다른 패킷 수준의 차이도 확인할 수 있습니다.

더 발전된 기술을 개발하기 위해 찾고있는 것은 RST 패킷과 해당 창 크기의 미묘함을 식별하는 것입니다. 창 크기가 0이 아닌 경우 TCP ACK 검색 대신 TCP 창 검색을 사용하도록 전환 할 수 있습니다. 자세한 내용은 http://nmap.org/book/man-port-scanning-techniques.html

를 참조하세요.

다른 기술은 NSE 가이드 그러나 BNAT, fragroute, osstmm-afd, 0trace, lft 및 WAF, IDS, IPS, 역방향 프록시, 게이트웨이 및 다음과 같은기만 시스템과 같은 다른 인라인 비 방화벽 장치를 탐지하는 잠재적 인 다른 기술이 많이 있습니다. 허니팟 또는 능동적 방어. 네트워크 침투 테스트를 수행하는 경우이 모든 사항을 알고 싶겠지 만 모든 종류의 네트워크 및 보안 문제를 해결하는 데 유용합니다.

댓글

  • 답변에 감사하지만 FIN 공격이 무엇인지 아직 이해하지 못했습니다. ' 오, Nmaps를 좋아합니다. : D
  • 짧은 버전은 세션에 속하지 않는 FIN을 ' 전송하고 응답에서 학습하는 것입니다. 가져 오기. 나머지 @atdre '의 답변은 충분합니다. 저는 ' 그가이 세부 정보를 추가하는 것을보고 싶습니다.
  • 예, 맞습니다. 공격 방식으로 FIN 스캔을 사용하는 방법을 파악하려고합니다.

답변

FIN 공격 (FIN 스캔을 의미한다고 가정합니다)은 TCP 포트 스캔의 한 유형입니다.

RFC 793에 따르면 : “폐쇄 된 포트로의 트래픽은 항상 RST를 반환해야합니다.” RFC 793은 포트가 열려 있고 세그먼트에 플래그 SYN, RST 또는 ACK 세트가 없는지 여부도 표시합니다. 패킷을 삭제해야합니다. 이미 닫힌 세션의 오래된 데이터 그램 일 수 있습니다.

FIN 공격이하는 일은 이것을 악용하는 것입니다. FIN 패킷을 닫힌 포트로 보내면 RST가 반환됩니다. 응답이 없으면 방화벽에 의해 삭제되었거나 포트가 열려있는 것입니다. 또한 FIN 공격은 SYN 스캔 (응답을보기 위해 SYN 전송)보다 눈에 잘 띄지 않습니다.

그러나 많은 시스템은 항상 RST를 반환합니다. 그리고 포트가 열려 있는지 닫혀 있는지 알 수 없습니다. 예를 들어 Windows는이 작업을 수행하지만 UNIX는 수행하지 않습니다.

댓글

  • 흠, 기본적으로 응답을 받기 위해 전송되므로 " 공격자 " 그리고 무엇을해야하는지 알고 있습니까?
  • 예, 열린 포트에 대해 대상 시스템을 조사합니다. 취약점을 찾기 위해 관리자 나 공격자가 수행 할 수 있습니다.
  • 아, 네 .. 저도 같은 생각을했습니다. 그러나 약간의 확인이 필요했습니다.

답변

FIN 스캔 (NULL, XMAS 또는 사용자 정의 플래그 스캔) -were and-는 방화벽을 우회하고 때때로 IDS를 회피하는 데 사용됩니다.

FIN 스캔 : 주요 이점 이러한 스캔 유형은 특정 비 상태 방화벽 및 패킷 필터링 라우터를 통해 몰래 빠져 나갈 수 있다는 것입니다. 이러한 방화벽은 (아웃 바운드 연결을 허용하면서) 들어오는 TCP 연결을 차단하려고 시도합니다. 이러한 스캔의 전체 방화벽 우회 성능을 입증하려면 다소 절박한 대상 방화벽 구성이 필요합니다. 최신 상태 저장 방화벽을 사용하면 FIN 스캔이 추가 정보를 생성해서는 안됩니다.

SYN / FIN 흥미로운 사용자 지정 스캔 유형 중 하나는 SYN / FIN입니다. 때때로 방화벽 관리자 나 장치 제조업체는 “SYN Hag 세트 만있는 수신 패킷 삭제”와 같은 규칙을 사용하여 수신 연결을 차단하려고 시도합니다. 그들은 나가는 연결의 두 번째 단계로 반환되는 SYN / ACK 패킷을 차단하지 않기 때문에 SYN 플래그로만 제한합니다.이 접근 방식의 문제는 대부분의 최종 시스템이 다음을 포함하는 초기 SYN 패킷을 수락한다는 것입니다. 예를 들어 Nmap OS 지문 시스템은 열린 포트로 SYN / FIN / URG / PSH 패킷을 보냅니다. 데이터베이스의 지문 중 절반 이상이 SYN / ACK로 응답합니다. 이 패킷으로 포트 스캔을 허용하고 일반적으로 전체 TCP 연결도 허용합니다. 일부 시스템은 SYN / RST 패킷에 대해 SYN / ACK로 응답하는 것으로 알려져 있습니다! TCP RFC는 초기에 어떤 플래그가 허용되는지 모호합니다. SYN / RST는 확실히 가짜처럼 보이지만 SYN 패킷입니다. 예제 5.13은 Ereet이 Google의 성공적인 SYNIFIN 스캔을 수행하는 것을 보여줍니다. 그는 분명히 scanme.nmap.org에 지루해하고 있습니다.

NMAP Network Discovery by Gordon “Fyodor”Lyon

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다