Solo quería saber qué es exactamente el ataque FIN. Conozco el indicador FIN que se usa para indicar el cierre de una conexión a través de TCP. Pero, ¿qué es exactamente el ataque FIN?
Solo quería saber qué es exactamente el ataque FIN. Conozco el indicador FIN que se usa para indicar el cierre de una conexión a través de TCP. Pero, ¿qué es exactamente el ataque FIN?
Es un ataque más antiguo originalmente destinado a ser un "bypass de cortafuegos furtivo" que dependía de algunos factores que ahora son poco comunes hoy en día: sistemas operativos Unix antiguos, falta de firewalls con estado, falta de NIDS / NIPS, etc. Puede aún puede ser útil cuando se prueban (es decir, como una técnica de toma de huellas dactilares no un ataque por sí mismo) pilas TCP / IP completamente nuevas o novedosas (o simplemente nuevas para usted o su entorno), lo cual es raro pero puede suceder.
Aquí hay un reemplazo moderno, la exploración del protocolo TCP:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
Que es casi exactamente igual que TCP ACK scan (que se puede usar para mapear hosts, abrir puertos, reglas de firewall, etc. con la advertencia que algunos NIPS, IDS y firewalls modernos detectarán, con otra situación) evento específico donde tal vez no notifique a los respondedores de incidentes o centros de operaciones de seguridad porque tienen cosas más importantes que ver en estos días):
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
Pero las salidas son ligeramente diferentes y también puede ver las otras diferencias de nivel de paquete.
Lo que está buscando para desarrollar una técnica más avanzada es identificar las sutilezas en los paquetes RST y sus tamaños de ventana. Si obtiene tamaños de ventana distintos de cero, es posible que desee cambiar a la exploración de la ventana TCP en lugar de la exploración ACK de TCP. Para obtener más información, consulte enlace
Algunas otras técnicas se encuentran en la guía NSE , como los scripts firewalk y firewall-bypass. Sin embargo, hay muchas otras técnicas que incluyen BNAT, fragroute, osstmm-afd, 0trace, lft y, potencialmente, otras que detectan otros dispositivos en línea, que no son cortafuegos, como WAF, IDS, IPS, proxies inversos, pasarelas y sistemas de engaño como Honeypots o defensas activas. Querrá estar al tanto de todo esto y más si está realizando una prueba de penetración de red, pero es útil para solucionar todo tipo de problemas de red y seguridad.
FIN Attack (supongo que te refieres a FIN Scan) es un tipo de escaneo de puerto TCP.
De acuerdo con RFC 793: "El tráfico a un puerto cerrado siempre debe devolver RST". El RFC 793 también indica si un puerto está abierto y el segmento no tiene el indicador SYN, RST o ACK establecido. El paquete debe ser dejado caer. Podría ser un datagrama antiguo de una sesión ya cerrada.
Entonces, lo que hace el ataque FIN es abusar de esto. Si enviamos un paquete FIN a un puerto cerrado, obtenemos un RST de vuelta. Si no recibimos respuesta, sabemos que el firewall o el puerto está abierto. Además, el FIN Attack es más invisible que el SYN Scan (el envío de SYN para ver la respuesta).
Sin embargo, muchos sistemas siempre devuelven RST. Y luego no es posible saber si el puerto está abierto o cerrado, por ejemplo, Windows hace esto pero no UNIX.
Los escaneos FIN, como NULL, XMAS o marcadores personalizados --were y-- se usan para pasar por alto el firewall y algunas veces evadir IDS, cito:
Escaneo FIN: La ventaja clave de estos tipos de escaneo es que pueden colarse a través de ciertos cortafuegos no de estado y enrutadores de filtrado de paquetes. Dichos cortafuegos intentan evitar las conexiones TCP entrantes (al tiempo que permiten salientes) Demostrando el poder total que pasa por alto el cortafuegos de estas exploraciones requieren una configuración de firewall de destino bastante escasa. Con un firewall moderno y con estado, un escaneo FIN no debería producir ningún extra información.
SYN / FIN Un tipo de escaneo personalizado interesante es SYN / FIN. A veces un administrador de firewall o fabricante del dispositivo intentará bloquear Conexiones entrantes con una regla como "eliminar cualquier paquete entrante con solo el conjunto de sincronización de SYN ". Lo limitan a solo el indicador SYN porque no quieren bloquear los paquetes SYN / ACK que se devuelven como Segundo paso de una conexión saliente. El problema con este enfoque. es que la mayoría de los sistemas finales aceptarán paquetes SYN iniciales que contienen otras banderas (no ACK) también. Por ejemplo, la huella digital del sistema operativo Nmap. el sistema envía un paquete SYN / FIN / URG / PSH a un puerto abierto. Más de la mitad Las huellas dactilares en la base de datos responden con un SYN / ACK. Asi ellos permitir el escaneo de puertos con este paquete y generalmente permitir hacer una completa Conexión TCP también. Algunos sistemas incluso han sido conocidos por responder con SYN / ACK a un paquete SYN / RST! El TCP RFC es ambiguo en cuanto a cuál los indicadores son aceptables en un paquete SYN inicial, aunque SYN / RST Ciertamente parece falso. El ejemplo 5.13 muestra a Ereet conduciendo un escaneo SYNIFIN exitoso de Google. Al parecer se está aburriendo con scanme.nmap.org.
Descubrimiento de la red NMAP por Gordon "Fyodor" Lyon