FIN Attack – Czym tak naprawdę jest ten rodzaj ataku?

To starszy atak, który pierwotnie miał być „podstępnym obejściem zapory”, który zależał od kilku czynników, są dziś rzadkością: stare systemy uniksowe, brak stanowych zapór ogniowych, brak NIDS / NIPS itp. Nadal mogą być przydatne podczas testowania (tj. jako technika pobierania odcisków palców, a nie jako atak) zupełnie nowe lub nowatorskie stosy TCP / IP (lub po prostu nowość dla Ciebie lub Twojego środowiska), co jest rzadkie, ale może się zdarzyć.

Oto nowoczesny zamiennik, skanowanie protokołu TCP:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

Który jest prawie dokładnie taki sam, jak skanowanie TCP ACK (które może być używane do mapowania hostów, otwartych portów, zestawów reguł zapory itp. z zastrzeżeniem, że niektóre NIPS, IDS i nowoczesne zapory ogniowe wykryją – z innym zdarzenie specyficzne dla sytuacji, w którym być może i t nie powiadomi osób reagujących na incydenty ani Centrów Operacji Bezpieczeństwa, ponieważ mają one obecnie ważniejsze rzeczy do rozpatrzenia):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

Ale wyniki są nieco inne i Ty widzisz również inne różnice na poziomie pakietów.

To, czego szukasz, aby opracować bardziej zaawansowaną technikę, to zidentyfikowanie subtelności w pakietach RST i ich rozmiarów okien. Jeśli otrzymujesz niezerowe rozmiary okien, możesz chcieć przełączyć się na używanie skanowania TCP Window zamiast skanowania TCP ACK. Aby uzyskać więcej informacji, zobacz http://nmap.org/book/man-port-scanning-techniques.html

Niektóre inne techniki można znaleźć w NSE , na przykład skrypty firewalk i firewall-omijające. Istnieje jednak wiele innych technik, w tym BNAT, fragroute, osstmm-afd, 0trace, lft i potencjalnie inne, które wykrywają inne wbudowane urządzenia, które nie są zaporą ogniową, takie jak WAF, IDS, IPS, odwrotne proxy, bramy i systemy oszukańcze, takie jak honeypoty lub aktywne mechanizmy obronne. Będziesz chciał wiedzieć o tym wszystkim i nie tylko, jeśli przeprowadzasz test penetracji sieci, ale przydają się one przy rozwiązywaniu wszelkiego rodzaju problemów z siecią i bezpieczeństwem.

Komentarze

• Doceniam twoją odpowiedź, ale nadal nie ' nie rozumiem, czym jest atak FIN. Och, uwielbiam Nmapsa: D
• Myślę, że krótka wersja jest taka, że wysyłasz FIN, który nie ' nie należy do sesji i uczysz się na podstawie odpowiedzi otrzymać. Reszta odpowiedzi @atdre ' jest wystarczająco dobra. ' chciałbym zobaczyć, jak dodaje ten szczegół.
• Tak, brzmi prawie dobrze … Próbuję tylko wymyślić, jak użyć skanowania FIN w celu ataku.

FIN Attack (zakładam, że masz na myśli FIN Scan) to rodzaj skanowania portów TCP.

Zgodnie z RFC 793: „Ruch do zamkniętego portu powinien zawsze zwracać RST”. RFC 793 stwierdza również, czy port jest otwarty, a segment nie ma ustawionej flagi SYN, RST lub ACK. Pakiet powinien zostać odrzucony. Może to być stary datagram z już zamkniętej sesji.

Więc to, co robi atak FIN, to nadużywanie tego. Jeśli wyślemy pakiet FIN do zamkniętego portu, otrzymamy zwrotny RST. Jeśli nie otrzymamy żadnej odpowiedzi, wiemy, że jest odrzucana przez zaporę lub port jest otwarty. Ponadto atak FIN jest bardziej niewidoczny niż skanowanie SYN (wysyłanie SYN w celu zobaczenia odpowiedzi).

Jednak wiele systemów zawsze zwraca RST. Nie można wtedy wiedzieć, czy port jest otwarty, czy zamknięty, na przykład Windows to robi, ale nie UNIX.

Komentarze

• Hmmmmm, więc jest wysyłany w celu uzyskania odpowiedzi, więc ” atakujący ” i wiesz, co robić?
• Tak, sondujesz maszynę docelową pod kątem otwartych portów. Może to być wykonane przez administratora lub atakującego, aby znaleźć luki w zabezpieczeniach.
• Och, tak … Myślałem o tym samym. Potrzebowałem jednak potwierdzenia.

Skanowanie FIN, jako skanowanie NULL, XMAS lub flag niestandardowych – były i– są używane do ominięcia zapory ogniowej i czasami omijania IDS, cytuję:

FIN Scan: kluczowa zaleta do tych typów skanowania polega na tym, że mogą przedostać się przez niektóre niepaństwowe zapory ogniowe i routery filtrujące pakiety. Takie zapory sieciowe próbują zapobiegać przychodzącym połączeniom TCP (jednocześnie zezwalając na połączenia wychodzące). Demonstracja pełnej mocy tych skanów z pominięciem zapory wymaga raczej kiepskiej konfiguracji docelowej zapory. W przypadku nowoczesnego stanowego firewalla skanowanie FIN nie powinno dawać żadnych dodatkowych informacji.

SYN / FIN Jednym z interesujących niestandardowych typów skanowania jest SYN / FIN. Czasami administrator zapory lub producent urządzenia próbuje zablokować połączenia przychodzące za pomocą reguły takiej jak „porzuć wszystkie przychodzące pakiety tylko z ustawionym SYN Hag”. Ograniczają to tylko do flagi SYN, ponieważ nie chcą blokować pakietów SYN / ACK, które są zwracane jako drugi etap połączenia wychodzącego. Problem z tym podejściem polega na tym, że większość systemów końcowych akceptuje początkowe pakiety SYN, które zawierają inne flagi (inne niż ACK). Na przykład, system odcisków palców Nmap OS wysyła pakiet SYN / FIN / URG / PSH do otwartego portu. Ponad połowa odcisków palców w bazie danych odpowiada SYN / ACK. pozwalają na skanowanie portów za pomocą tego pakietu i generalnie pozwalają również na wykonanie pełnego połączenia TCP. Niektóre systemy są znane nawet z tego, że odpowiadają za pomocą SYN / ACK na pakiet SYN / RST! TCP RFC nie jest jednoznaczne co do tego, które flagi są dopuszczalne w początkowym Pakiet SYN, chociaż SYN / RST z pewnością wydaje się fałszywy. Przykład 5.13 pokazuje, że Ereet przeprowadza udane skanowanie Google SYNIFIN. Najwyraźniej nudzi się scanme.nmap.org.

NMAP Network Discovery autorstwa Gordona „Fyodora” Lyon