Am vrut doar să știu exact ce este atacul FIN. Știu despre pavilionul FIN care este folosit pentru a indica închiderea unei conexiuni prin TCP. Dar ce este exact atacul FIN?

Comentarii

  • Ați făcut vreo cercetare pe cont propriu? Cum ați auzit despre ” atacul FIN „?
  • Practic, a fost dat într-o misiune. Am citit ceva, dar am întâlnit FIN doar ca steag în antetul TCP. Dar nimic despre un atac FIN.
  • Apoi ați putea obține mai multe detalii de la instructorul dvs. despre termenul ” Atac FIN „? Există scanări și inundații, dar nu ‘ nu sunt sigur că aș descrie oricare dintre acestea ca fiind ” atacuri ”
  • Dacă citiți cele 2 întrebări la acest răspuns, veți vedea că presupun că vă referiți la o scanare FIN. Scanările nu sunt atacuri. Vrei să spui scanarea FIN sau încă nu primești răspunsurile de care ai nevoie …?
  • Da, m-am gândit atât de mult. Încă nu am ‘ prea multe informații despre asta, dar cred că practic folosesc pachetele FIN pentru a găsi o gaură undeva, deoarece uneori poate să ocolească firewall-urile.

Răspuns

Este un atac mai vechi destinat inițial să fie o „ocolire firewall, care depindea de câțiva factori care sunt acum mai puțin frecvente astăzi: sisteme de operare Unix vechi, lipsa de firewall-uri stabile, lipsa de NIDS / NIPS etc. Poate fi utilă încă atunci când se testează (adică, ca tehnică de amprentare digitală, nu ca atac în sine) complet noi sau noi TCP / IP (sau doar nou pentru dvs. sau pentru mediul dvs.), ceea ce este rar, dar se poate întâmpla.

Iată un înlocuitor modern, scanarea protocolului TCP: 

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>

Care este aproape exact la fel ca scanarea TCP ACK (care poate fi utilizată pentru maparea gazdelor, a porturilor deschise, a seturilor de reguli firewall, etc. cu avertismentul pe care îl vor detecta unele NIPS, IDS și firewall-uri moderne – cu altul eveniment specific situației în care poate eu Nu veți notifica persoanele care răspund la incidente sau centrele de operațiuni de securitate, deoarece acestea au lucruri mai importante de luat în considerare în aceste zile): 

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>

Dar rezultatele sunt ușor diferite și dvs. poate vedea și celelalte diferențe la nivel de pachet.

Ceea ce căutați pentru a dezvolta o tehnică mai avansată este să identificați subtilitățile din pachetele RST și dimensiunile ferestrelor lor. Dacă obțineți dimensiuni de ferestre diferite de zero, vă recomandăm să treceți la utilizarea scanării TCP Window în loc de scanarea TCP ACK. Pentru mai multe informații, consultați http://nmap.org/book/man-port-scanning-techniques.html

Unele alte tehnici se găsesc în ghid NSE , cum ar fi scripturile firewall și firewall-bypass. Cu toate acestea, există multe alte tehnici, inclusiv BNAT, fragroute, osstmm-afd, 0trace, lft și potențial altele care detectează alte dispozitive non-firewall, cum ar fi WAF, IDS, IPS, proxy invers, gateway și sisteme de înșelăciune, cum ar fi ghivece sau apărări active. Veți dori să fiți conștienți de toate acestea și multe altele dacă efectuați un test de penetrare a rețelei, dar acestea sunt utile pentru soluționarea problemelor de tot felul de probleme de rețea și securitate.

Comentarii

  • Apreciez răspunsul dvs., dar încă nu primesc ‘ ceea ce este un atac FIN. Oh, iubesc Nmaps totuși: D
  • Cred că versiunea scurtă este, trimiteți un FIN care nu ‘ nu aparține unei sesiuni și învățați din răspunsul obține. Restul răspunsului @atdre ‘ este suficient de bun îmi place ‘ să-l văd adăugând acest detaliu.
  • Da, sună aproape corect .. Încercând doar să ne dăm seama cum să folosim scanarea FIN într-un mod de atac.

Răspuns

FIN Attack (presupun că vrei să spui FIN Scan) este un tip de scanare a portului TCP.

Conform RFC 793: „Traficul către un port închis ar trebui să returneze întotdeauna RST”. RFC 793 indică, de asemenea, dacă un port este deschis și segmentul nu are semnalizatorul SYN, RST sau ACK setat. Pachetul ar trebui să fie scăpat. Ar putea fi o datagramă veche dintr-o sesiune deja închisă.

Deci, ceea ce face FIN Attack este să abuzeze de acest lucru. Dacă trimitem un pachet FIN către un port închis, primim un RST înapoi. Dacă nu primim niciun răspuns, știm că fie este scăpat de firewall, fie portul este deschis. De asemenea, atacul FIN este mai invizibil decât scanarea SYN (trimiterea SYN pentru a vedea răspunsul).

Cu toate acestea, multe sisteme returnează întotdeauna RST. Și atunci nu este posibil să știm dacă portul este deschis sau închis, de exemplu Windows face acest lucru, dar nu UNIX.

Comentarii

  • Hmmmmm, deci este trimis în principiu pentru a obține un răspuns, astfel încât atacatorul ” id = „d2004e6d8c”>

și știți ce să faceți?

  • Da, examinați mașina țintă pentru porturi deschise. Acest lucru ar putea fi realizat de un administrator sau un atacator pentru a găsi vulnerabilități.
  • Oh, da .. Mă gândeam la același lucru. Dar am avut nevoie de o confirmare.

    • Răspuns

    scanări FIN, ca scanări NULL, XMAS sau personalizate – were and– sunt folosite pentru ocolirea firewall-ului și uneori evitarea IDS, citez:

    FIN Scan: Avantajul cheie la aceste tipuri de scanare este că se pot strecura prin anumite firewall-uri non-state și routere de filtrare a pachetelor. Astfel de firewall-uri încearcă să împiedice conexiunile TCP de intrare (permițând în același timp conexiunile de ieșire) Demonstrarea puterii complete, ocolind firewall-ul acestor scanări necesită o configurație firewall țintă destul de oarbă. Cu un firewall modern de stare, o scanare FIN nu ar trebui să producă informații suplimentare.

    SYN / FIN Un tip interesant de scanare personalizată este SYN / FIN. Uneori, un administrator de firewall sau un producător de dispozitive va încerca să blocheze conexiunile primite cu o regulă precum „renunță la orice pachete de intrare doar cu setul SYN Hag”. Îl limitează doar la steagul SYN deoarece nu doresc să blocheze pachetele SYN / ACK care sunt returnate ca al doilea pas al unei conexiuni de ieșire. Problema cu această abordare este că majoritatea sistemelor finale vor accepta pachetele SYN inițiale care conțin și alte semnalizatoare (non-ACK). De exemplu, sistemul de amprentă digitală Nmap OS trimite un pachet SYN / FIN / URG / PSH către un port deschis. Mai mult de jumătate din amprentele din baza de date răspund cu un SYN / ACK. permit scanarea porturilor cu acest pachet și, în general, permit realizarea unei conexiuni TCP complete. Unele sisteme au fost chiar cunoscute că răspund cu SYN / ACK la un pachet SYN / RST! Pachetul SYN, deși SYN / RST pare cu siguranță fals. Exemplul 5.13 arată că Ereet efectuează o scanare SYNIFIN de succes a Google. Se pare că se plictisește de scanme.nmap.org.

    NMAP Network Discovery de Gordon „Fyodor” Lyon

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *