Exploración FIN: ¿se cuela a través de ciertos firewalls no de estado?

Navega tus respuestas
1

Muchos recursos indicaron que el escaneo FIN puede pasar por alto el firewall no estatal:

En documento de Nmap :

  

La ventaja clave de estos tipos de escaneo es que pueden colarse a través de ciertos cortafuegos y enrutadores de filtrado de paquetes no de estado.

También en Wikipedia :

  

Los paquetes FIN pueden pasar por alto los firewalls sin modificación.

¿Pero no sé qué propiedad de la exploración FIN hace posible la omisión?

También encontré en un Responda a la otra pregunta , mencionó que el escaneo FIN es un ataque más antiguo, ¿significa que hoy en día el escaneo FIN es mucho menos útil frente a la nueva versión de firewalls?

    
pregunta Sugre 21.11.2015 - 05:52
fuente

1 respuesta

1

TCP FIN explota una laguna sutil en la RFC de TCP para diferenciar entre puertos abiertos y cerrados. La página 65 de RFC 793 dice que "si el estado del puerto [destino] está CERRADO ... un segmento entrante que no contiene un RST hace que se envíe un RST como respuesta". Luego, en la página siguiente se describen los paquetes enviados a puertos abiertos sin los bits de SYN, RST o ACK establecidos, indicando que: "es poco probable que llegue aquí, pero si lo hace, descarte el segmento y regrese".

De hecho, esta es una forma antigua de eludir el filtrado de paquetes, y la industria ha hecho que esta exploración (en su mayoría) sea obsoleta. Al igual que cualquier otro escaneo, la idea es probarlo y ver si esto funciona, y comparar con otro tipo de escaneo para comprender si un puerto está realmente cerca o abierto.

  

Cuando los sistemas de escaneo son compatibles con este texto RFC, cualquier paquete no   que contengan bits SYN, RST o ACK dará como resultado un RST devuelto si el   el puerto está cerrado y no hay respuesta si el puerto está abierto. Mientras   ninguno de esos tres bits está incluido, ninguna combinación de los otros   tres (FIN, PSH y URG) están bien. Nmap explota esto con tres escaneos.   tipos:

     

Exploración nula (-sN) No establece ningún bit (el encabezado del indicador TCP es 0) Exploración FIN   (-sF) Establece solo el bit TCP FIN. Escaneo de Navidad (-sX) Establece el FIN, PSH,   y banderas de URG, iluminando el paquete como un árbol de Navidad.

     

Estos tres tipos de escaneo son exactamente iguales en comportamiento, excepto por el   Indicadores TCP establecidos en paquetes de sondas. La ventaja clave de estos tipos de escaneo.   es que pueden colarse a través de ciertos cortafuegos no estatales y   Enrutadores de filtrado de paquetes. Tales firewalls intentan evitar el TCP entrante   conexiones (mientras se permiten las de salida) mediante el bloqueo de los paquetes TCP   con el conjunto de bits SYN y ACK borrados.

Fuente: Nmap Network Scanning: Guía oficial del proyecto Nmap para el descubrimiento de redes y escaneo de seguridad

    
respondido por el Florian Bidabe 21.11.2015 - 23:35
fuente

Lea otras preguntas en las etiquetas

La autenticación del cliente fue exitosa cuando se usa un pfx con Java, falla al usar OpenSSL. ¿Por qué? Patrón de token cifrado CSRF: ¿necesita 'nonce'?