Eu só queria saber o que exatamente é o ataque FIN. Eu sei da flag FIN que é usada para indicar o fechamento de uma conexão via TCP. Mas o que exatamente é um ataque FIN?

Comentários

  • Você fez alguma pesquisa por conta própria? Como você ficou sabendo sobre o ” ataque FIN “?
  • Basicamente, foi dado em uma tarefa. Tenho feito algumas leituras, mas só encontrei FIN como um sinalizador no cabeçalho TCP. Mas nada sobre um ataque FIN.
  • Então você poderia obter mais alguns detalhes com seu instrutor sobre o termo ” ataque FIN “? Há verificações e inundações, mas ‘ não tenho certeza se descreveria qualquer uma delas como ” ataques ”
  • Se você ler as 2 perguntas desta resposta, verá que elas estão assumindo que você quer dizer uma varredura FIN. As varreduras não são ataques. Você quer dizer FIN scan ou ainda não está obtendo as respostas de que precisa …?
  • Sim, imaginei. Ainda não ‘ vou ter muitas informações sobre ele, mas eu acho que é basicamente usar os pacotes FIN para encontrar uma falha em algum lugar, já que às vezes pode ser capaz de contornar firewalls.

Resposta

É um ataque mais antigo originalmente planejado para ser um “desvio sorrateiro de firewall” que dependia de alguns fatores que agora são incomuns hoje: sistemas operacionais Unix antigos, falta de firewalls com estado, falta de NIDS / NIPS, etc. Ainda pode ser útil ao testar (ou seja, como uma técnica de impressão digital e não um ataque per se) pilhas TCP / IP completamente novas ou inovadoras (ou apenas novo para você ou seu ambiente), o que é raro, mas pode acontecer.

Aqui está uma substituição moderna, a varredura do protocolo TCP:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip> 

Que é quase exatamente o mesmo que a varredura TCP ACK (que pode ser usada para mapear hosts, portas abertas, conjuntos de regras de firewall, etc. com a ressalva de que alguns NIPS, IDS e firewalls modernos irão detectar – com outro evento específico de situação onde talvez eu não notificarei respondentes de incidentes ou Centros de Operações de Segurança porque eles têm coisas mais importantes para examinar atualmente):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip> 

Mas os resultados são ligeiramente diferentes e você pode ver as outras diferenças de nível de pacote também.

O que você está procurando para desenvolver uma técnica mais avançada é identificar as sutilezas nos pacotes RST e seus tamanhos de janela. Se você obtiver tamanhos de janela diferentes de zero, você pode querer mudar para o uso de varredura de janela TCP em vez de varredura de TCP ACK. Para obter mais informações, consulte http://nmap.org/book/man-port-scanning-techniques.html

Algumas outras técnicas são encontradas em Guia NSE , como os scripts firewalk e firewall-bypass. No entanto, existem muitas outras técnicas, incluindo BNAT, fragroute, osstmm-afd, 0trace, lft e potencialmente outras que detectam outros dispositivos inline, não firewall, como WAFs, IDS, IPS, proxies reversos, gateways e sistemas de engano, como honeypots ou defesas ativas. Você vai querer estar ciente de tudo isso e muito mais se estiver realizando um teste de penetração de rede, mas eles são úteis para solucionar todos os tipos de problemas de rede e segurança.

Comentários

  • Agradeço sua resposta, mas ainda não ‘ entendi o que é um ataque FIN. Oh, adore o Nmaps: D
  • Acho que a versão resumida é, você envia um FIN que não ‘ pertence a uma sessão e aprende com a resposta que você obter. O resto da resposta de @atdre ‘ é bom o suficiente e eu ‘ gostaria de apenas vê-lo adicionar este detalhe.
  • Sim, parece certo. Só estou tentando descobrir como usar a varredura FIN de uma maneira de ataque.

Resposta

Ataque FIN (suponho que você quer dizer a varredura FIN) é um tipo de varredura da porta TCP.

De acordo com RFC 793: “O tráfego para uma porta fechada deve sempre retornar RST”. O RFC 793 também indica se uma porta está aberta e o segmento não tem o sinalizador SYN, RST ou ACK definido. O pacote deve ser descartado. Pode ser um datagrama antigo de uma sessão já fechada.

Então, o que o ataque FIN faz é abusar disso. Se enviarmos um pacote FIN para uma porta fechada, receberemos um RST de volta. Se não obtivermos resposta, sabemos que o firewall foi descartado ou a porta está aberta. Além disso, o FIN Attack é mais invisível do que o SYN Scan (enviando SYN para ver a resposta).

No entanto, muitos sistemas sempre retornam RST. E então não é possível saber se a porta está aberta ou fechada, por exemplo, o Windows faz isso, mas não o UNIX.

Comentários

  • Hmmmmm, então basicamente é enviado para obter uma resposta para o ” atacante ” e sabe o que fazer?
  • Sim, você analisa a máquina de destino em busca de portas abertas. Isso pode ser feito por um administrador ou um invasor para encontrar vulnerabilidades.
  • Oh, sim .. Eu estava pensando a mesma coisa. Mas precisava de alguma confirmação.

Resposta

varreduras FIN, como varreduras NULL, XMAS ou sinalizadores personalizados – foram e– são usados para contornar o firewall e às vezes evadir IDS, passo a citar:

Digitalização FIN: A principal vantagem para esses tipos de varredura é que eles podem se esgueirar por certos firewalls sem estado e roteadores de filtragem de pacotes. Esses firewalls tentam evitar conexões TCP de entrada (ao mesmo tempo em que permitem conexões de saída). Demonstrar que o poder de contornar o firewall completo dessas varreduras requer uma configuração de firewall de destino bastante fraca. Com um firewall stateful moderno, uma varredura FIN não deve produzir nenhuma informação extra.

SYN / FIN Um tipo de varredura personalizada interessante é SYN / FIN. Às vezes, um administrador de firewall ou fabricante de dispositivo tentará bloquear conexões de entrada com uma regra como “descartar qualquer pacote de entrada apenas com o conjunto SYN Hag”. Eles o limitam apenas ao sinalizador SYN porque não querem bloquear os pacotes SYN / ACK que são retornados como a segunda etapa de uma conexão de saída. O problema com esta abordagem é que a maioria dos sistemas finais aceitará pacotes SYN iniciais que contêm outros sinalizadores (não ACK) também. Por exemplo, o sistema de impressão digital Nmap OS envia um pacote SYN / FIN / URG / PSH para uma porta aberta. Mais da metade das impressões digitais no banco de dados respondem com um SYN / ACK. eles permitem a varredura de portas com este pacote e geralmente permitem fazer uma conexão TCP completa. Alguns sistemas até mesmo respondem com SYN / ACK a um pacote SYN / RST! O RFC TCP é ambíguo quanto a quais sinalizadores são aceitáveis em um pacote inicial Pacote SYN, embora SYN / RST certamente pareça falso. O exemplo 5.13 mostra Ereet conduzindo uma varredura SYNIFIN do Google. Ele aparentemente está ficando entediado com scanme.nmap.org.

Descoberta de rede NMAP por Gordon “Fyodor” Lyon

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *