FIN Attack- O que realmente é esse tipo de ataque?

É um ataque mais antigo originalmente planejado para ser um “desvio sorrateiro de firewall” que dependia de alguns fatores que agora são incomuns hoje: sistemas operacionais Unix antigos, falta de firewalls com estado, falta de NIDS / NIPS, etc. Ainda pode ser útil ao testar (ou seja, como uma técnica de impressão digital e não um ataque per se) pilhas TCP / IP completamente novas ou inovadoras (ou apenas novo para você ou seu ambiente), o que é raro, mas pode acontecer.

Aqui está uma substituição moderna, a varredura do protocolo TCP:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

Que é quase exatamente o mesmo que a varredura TCP ACK (que pode ser usada para mapear hosts, portas abertas, conjuntos de regras de firewall, etc. com a ressalva de que alguns NIPS, IDS e firewalls modernos irão detectar – com outro evento específico de situação onde talvez eu não notificarei respondentes de incidentes ou Centros de Operações de Segurança porque eles têm coisas mais importantes para examinar atualmente):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

Mas os resultados são ligeiramente diferentes e você pode ver as outras diferenças de nível de pacote também.

O que você está procurando para desenvolver uma técnica mais avançada é identificar as sutilezas nos pacotes RST e seus tamanhos de janela. Se você obtiver tamanhos de janela diferentes de zero, você pode querer mudar para o uso de varredura de janela TCP em vez de varredura de TCP ACK. Para obter mais informações, consulte http://nmap.org/book/man-port-scanning-techniques.html

Algumas outras técnicas são encontradas em Guia NSE , como os scripts firewalk e firewall-bypass. No entanto, existem muitas outras técnicas, incluindo BNAT, fragroute, osstmm-afd, 0trace, lft e potencialmente outras que detectam outros dispositivos inline, não firewall, como WAFs, IDS, IPS, proxies reversos, gateways e sistemas de engano, como honeypots ou defesas ativas. Você vai querer estar ciente de tudo isso e muito mais se estiver realizando um teste de penetração de rede, mas eles são úteis para solucionar todos os tipos de problemas de rede e segurança.

Comentários

• Agradeço sua resposta, mas ainda não ‘ entendi o que é um ataque FIN. Oh, adore o Nmaps: D
• Acho que a versão resumida é, você envia um FIN que não ‘ pertence a uma sessão e aprende com a resposta que você obter. O resto da resposta de @atdre ‘ é bom o suficiente e eu ‘ gostaria de apenas vê-lo adicionar este detalhe.
• Sim, parece certo. Só estou tentando descobrir como usar a varredura FIN de uma maneira de ataque.

Ataque FIN (suponho que você quer dizer a varredura FIN) é um tipo de varredura da porta TCP.

De acordo com RFC 793: “O tráfego para uma porta fechada deve sempre retornar RST”. O RFC 793 também indica se uma porta está aberta e o segmento não tem o sinalizador SYN, RST ou ACK definido. O pacote deve ser descartado. Pode ser um datagrama antigo de uma sessão já fechada.

Então, o que o ataque FIN faz é abusar disso. Se enviarmos um pacote FIN para uma porta fechada, receberemos um RST de volta. Se não obtivermos resposta, sabemos que o firewall foi descartado ou a porta está aberta. Além disso, o FIN Attack é mais invisível do que o SYN Scan (enviando SYN para ver a resposta).

No entanto, muitos sistemas sempre retornam RST. E então não é possível saber se a porta está aberta ou fechada, por exemplo, o Windows faz isso, mas não o UNIX.

Comentários

• Hmmmmm, então basicamente é enviado para obter uma resposta para o ” atacante ” e sabe o que fazer?
• Sim, você analisa a máquina de destino em busca de portas abertas. Isso pode ser feito por um administrador ou um invasor para encontrar vulnerabilidades.
• Oh, sim .. Eu estava pensando a mesma coisa. Mas precisava de alguma confirmação.

varreduras FIN, como varreduras NULL, XMAS ou sinalizadores personalizados – foram e– são usados para contornar o firewall e às vezes evadir IDS, passo a citar:

Digitalização FIN: A principal vantagem para esses tipos de varredura é que eles podem se esgueirar por certos firewalls sem estado e roteadores de filtragem de pacotes. Esses firewalls tentam evitar conexões TCP de entrada (ao mesmo tempo em que permitem conexões de saída). Demonstrar que o poder de contornar o firewall completo dessas varreduras requer uma configuração de firewall de destino bastante fraca. Com um firewall stateful moderno, uma varredura FIN não deve produzir nenhuma informação extra.

SYN / FIN Um tipo de varredura personalizada interessante é SYN / FIN. Às vezes, um administrador de firewall ou fabricante de dispositivo tentará bloquear conexões de entrada com uma regra como “descartar qualquer pacote de entrada apenas com o conjunto SYN Hag”. Eles o limitam apenas ao sinalizador SYN porque não querem bloquear os pacotes SYN / ACK que são retornados como a segunda etapa de uma conexão de saída. O problema com esta abordagem é que a maioria dos sistemas finais aceitará pacotes SYN iniciais que contêm outros sinalizadores (não ACK) também. Por exemplo, o sistema de impressão digital Nmap OS envia um pacote SYN / FIN / URG / PSH para uma porta aberta. Mais da metade das impressões digitais no banco de dados respondem com um SYN / ACK. eles permitem a varredura de portas com este pacote e geralmente permitem fazer uma conexão TCP completa. Alguns sistemas até mesmo respondem com SYN / ACK a um pacote SYN / RST! O RFC TCP é ambíguo quanto a quais sinalizadores são aceitáveis em um pacote inicial Pacote SYN, embora SYN / RST certamente pareça falso. O exemplo 5.13 mostra Ereet conduzindo uma varredura SYNIFIN do Google. Ele aparentemente está ficando entediado com scanme.nmap.org.

Descoberta de rede NMAP por Gordon “Fyodor” Lyon