FIN Attack- Wat is dit soort aanval eigenlijk?

Het is een oudere aanval die oorspronkelijk bedoeld was als een “stiekeme firewall-bypass” die afhankelijk was van een paar factoren die zijn tegenwoordig ongebruikelijk: oude Unix-besturingssystemen, gebrek aan stateful firewalls, gebrek aan NIDS / NIPS, enz. Het kan nog steeds nuttig zijn bij het testen van volledig nieuwe of nieuwe TCP / IP-stacks (dwz als een vingerafdruktechniek en niet per se een aanval) (of gewoon nieuw voor u of uw omgeving), wat zeldzaam is, maar kan gebeuren.

Hier is een moderne vervanging, de TCP-protocolscan:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

Wat bijna precies hetzelfde is als de TCP ACK-scan (die kan worden gebruikt om hosts, open poorten, firewallregelsets, enz. in kaart te brengen, met het voorbehoud dat sommige NIPS, IDS en moderne firewalls zullen detecteren – met een andere situatiespecifieke gebeurtenis waar misschien ik t zal de hulpverleners of Security Operations Centers niet op de hoogte stellen omdat ze tegenwoordig belangrijker dingen hebben om naar te kijken):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

Maar de resultaten zijn iets anders en u kan ook de andere verschillen op pakketniveau zien.

Wat u zoekt om een meer geavanceerde techniek te ontwikkelen, is het identificeren van de subtiliteiten in de RST-pakketten en hun venstergroottes. Als u venstergroottes krijgt die niet gelijk zijn aan nul, wilt u misschien overschakelen naar het gebruik van de TCP Window-scan in plaats van de TCP ACK-scan. Zie http://nmap.org/book/man-port-scanning-techniques.html

voor meer informatie. Enkele andere technieken zijn te vinden in de NSE-gids , zoals de firewalk en firewall-bypass-scripts. Er zijn echter veel andere technieken, waaronder BNAT, fragroute, osstmm-afd, 0trace, lft en mogelijk andere die andere inline, niet-firewall-apparaten detecteren, zoals WAFs, IDS, IPS, reverse proxies, gateways en misleidingssystemen zoals honeypots of actieve verdediging. Je zult hiervan op de hoogte willen zijn en meer als je een netwerkpenetratietest uitvoert, maar ze zijn handig voor het oplossen van allerlei netwerk- en beveiligingsproblemen.

Opmerkingen

• Ik waardeer je antwoord, maar ik begrijp nog steeds niet wat een FIN-aanval is ‘. Oh, hou van Nmaps: D
• Ik denk dat de korte versie is dat je een FIN stuurt die niet ‘ niet bij een sessie hoort en leer van de reactie die je krijgen. De rest van het antwoord van @atdre ‘ is goed genoeg. Ik ‘ zou hem dit detail willen zien toevoegen.
• Ja, dat klinkt ongeveer goed .. Ik probeer gewoon uit te vinden hoe je de FIN-scan op een aanvalsmanier kunt gebruiken.

FIN Attack (ik neem aan dat u FIN Scan bedoelt) is een soort TCP Port Scanning.

Volgens RFC 793: “Verkeer naar een gesloten poort moet altijd RST retourneren”. RFC 793 geeft ook aan of een poort open is en het segment geen vlag SYN, RST of ACK heeft ingesteld. Het pakket moet worden verwijderd. Het kan een oud datagram zijn van een reeds gesloten sessie.

Dus wat de FIN Attack doet, is dit misbruiken. Als we een FIN-pakket naar een gesloten poort sturen, krijgen we een RST terug. Als we geen antwoord krijgen, weten we dat dit ofwel door de firewall is verwijderd of dat de poort open is. Ook is de FIN-aanval onzichtbaarder dan de SYN-scan (SYN wordt verzonden om de respons te zien).

Veel systemen geven echter altijd RST terug. En dan is het niet mogelijk om te weten of de poort open of gesloten is, bijvoorbeeld Windows doet dit maar niet UNIX.

Reacties

• Hmmmmm, dus het wordt in feite verzonden om een reactie te krijgen, zodat de ” aanvaller ” en weet u wat u moet doen?
• Ja, u onderzoekt de doelcomputer op open poorten. Dit kan worden uitgevoerd door een beheerder of een aanvaller om kwetsbaarheden te vinden.
• Oh, ja .. ik dacht hetzelfde. Maar had wat bevestiging nodig.

FIN-scans, zoals NULL, XMAS of custom-flags scans – were en– worden gebruikt om de firewall te omzeilen en soms IDS te omzeilen, ik citeer:

FIN Scan: het belangrijkste voordeel voor deze scantypes is dat ze door bepaalde niet-stateful firewalls en pakketfilterrouters kunnen sluipen. Dergelijke firewalls proberen inkomende TCP-verbindingen te voorkomen (terwijl ze uitgaande verbindingen toestaan). Het demonstreren van de volledige, firewall-omzeilende kracht van deze scans vereist een nogal zwakke configuratie van de doelfirewall. Met een moderne stateful firewall zou een FIN-scan geen extra informatie moeten opleveren.

SYN / FIN Een interessant scantype op maat is SYN / FIN. Soms zal een firewallbeheerder of apparaatfabrikant proberen om inkomende verbindingen te blokkeren met een regel als “laat alle inkomende pakketten vallen met alleen de SYN Hag-set”. Ze beperken het tot alleen de SYN-vlag omdat ze de SYN / ACK-pakketten die worden geretourneerd als de tweede stap van een uitgaande verbinding niet willen blokkeren. Het probleem met deze benadering is dat de meeste eindsystemen initiële SYN-pakketten accepteren die andere (niet-ACK) vlaggen. Het Nmap OS-vingerafdruksysteem stuurt bijvoorbeeld een SYN / FIN / URG / PSH-pakket naar een open poort. Meer dan de helft van de vingerafdrukken in de database reageert met een SYN / ACK. ze maken het scannen van poorten met dit pakket mogelijk en maken over het algemeen ook het maken van een volledige TCP-verbinding mogelijk. Van sommige systemen is zelfs bekend dat ze reageren met SYN / ACK op een SYN / RST-pakket! De TCP-RFC is onduidelijk welke vlaggen aanvaardbaar zijn in een initiële SYN-pakket, hoewel SYN / RST zeker nep lijkt. Voorbeeld 5.13 laat zien dat Ereet een succesvolle SYNIFIN-scan van Google uitvoert. Hij raakt blijkbaar verveeld met scanme.nmap.org.

NMAP-netwerkdetectie door Gordon “Fyodor” Lyon