FIN Attack- ¿Qué es realmente este tipo de ataque?

5

Solo quería saber qué es exactamente el ataque FIN. Conozco el indicador FIN que se usa para indicar el cierre de una conexión a través de TCP. Pero, ¿qué es exactamente el ataque FIN?

    
pregunta Everone Graham 12.02.2015 - 01:44
fuente

3 respuestas

4

Es un ataque más antiguo originalmente destinado a ser un "bypass de cortafuegos furtivo" que dependía de algunos factores que ahora son poco comunes hoy en día: sistemas operativos Unix antiguos, falta de firewalls con estado, falta de NIDS / NIPS, etc. Puede aún puede ser útil cuando se prueban (es decir, como una técnica de toma de huellas dactilares no un ataque por sí mismo) pilas TCP / IP completamente nuevas o novedosas (o simplemente nuevas para usted o su entorno), lo cual es raro pero puede suceder.

Aquí hay un reemplazo moderno, la exploración del protocolo TCP:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>

Que es casi exactamente igual que TCP ACK scan (que se puede usar para mapear hosts, abrir puertos, reglas de firewall, etc. con la advertencia que algunos NIPS, IDS y firewalls modernos detectarán, con otra situación) evento específico donde tal vez no notifique a los respondedores de incidentes o centros de operaciones de seguridad porque tienen cosas más importantes que ver en estos días):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>

Pero las salidas son ligeramente diferentes y también puede ver las otras diferencias de nivel de paquete.

Lo que está buscando para desarrollar una técnica más avanzada es identificar las sutilezas en los paquetes RST y sus tamaños de ventana. Si obtiene tamaños de ventana distintos de cero, es posible que desee cambiar a la exploración de la ventana TCP en lugar de la exploración ACK de TCP. Para obtener más información, consulte enlace

Algunas otras técnicas se encuentran en la guía NSE , como los scripts firewalk y firewall-bypass. Sin embargo, hay muchas otras técnicas que incluyen BNAT, fragroute, osstmm-afd, 0trace, lft y, potencialmente, otras que detectan otros dispositivos en línea, que no son cortafuegos, como WAF, IDS, IPS, proxies inversos, pasarelas y sistemas de engaño como Honeypots o defensas activas. Querrá estar al tanto de todo esto y más si está realizando una prueba de penetración de red, pero es útil para solucionar todo tipo de problemas de red y seguridad.

    
respondido por el atdre 12.02.2015 - 02:17
fuente
2

FIN Attack (supongo que te refieres a FIN Scan) es un tipo de escaneo de puerto TCP.

De acuerdo con RFC 793: "El tráfico a un puerto cerrado siempre debe devolver RST". El RFC 793 también indica si un puerto está abierto y el segmento no tiene el indicador SYN, RST o ACK establecido. El paquete debe ser dejado caer. Podría ser un datagrama antiguo de una sesión ya cerrada.

Entonces, lo que hace el ataque FIN es abusar de esto. Si enviamos un paquete FIN a un puerto cerrado, obtenemos un RST de vuelta. Si no recibimos respuesta, sabemos que el firewall o el puerto está abierto. Además, el FIN Attack es más invisible que el SYN Scan (el envío de SYN para ver la respuesta).

Sin embargo, muchos sistemas siempre devuelven RST. Y luego no es posible saber si el puerto está abierto o cerrado, por ejemplo, Windows hace esto pero no UNIX.

    
respondido por el Anders Nordin 12.02.2015 - 09:22
fuente
1

Los escaneos FIN, como NULL, XMAS o marcadores personalizados --were y-- se usan para pasar por alto el firewall y algunas veces evadir IDS, cito:

  

Escaneo FIN: La ventaja clave de estos tipos de escaneo es que pueden colarse   a través de ciertos cortafuegos no de estado y enrutadores de filtrado de paquetes.   Dichos cortafuegos intentan evitar las conexiones TCP entrantes (al tiempo que permiten   salientes) Demostrando el poder total que pasa por alto el cortafuegos de   estas exploraciones requieren una configuración de firewall de destino bastante escasa. Con   un firewall moderno y con estado, un escaneo FIN no debería producir ningún extra   información.

     

SYN / FIN Un tipo de escaneo personalizado interesante es SYN / FIN. A veces un   administrador de firewall o fabricante del dispositivo intentará bloquear   Conexiones entrantes con una regla como "eliminar cualquier paquete entrante   con solo el conjunto de sincronización de SYN ". Lo limitan a solo el indicador SYN porque   no quieren bloquear los paquetes SYN / ACK que se devuelven como   Segundo paso de una conexión saliente. El problema con este enfoque.   es que la mayoría de los sistemas finales aceptarán paquetes SYN iniciales que contienen   otras banderas (no ACK) también. Por ejemplo, la huella digital del sistema operativo Nmap.   el sistema envía un paquete SYN / FIN / URG / PSH a un puerto abierto. Más de la mitad   Las huellas dactilares en la base de datos responden con un SYN / ACK. Asi ellos   permitir el escaneo de puertos con este paquete y generalmente permitir hacer una completa   Conexión TCP también. Algunos sistemas incluso han sido conocidos por responder con   SYN / ACK a un paquete SYN / RST! El TCP RFC es ambiguo en cuanto a cuál   los indicadores son aceptables en un paquete SYN inicial, aunque SYN / RST   Ciertamente parece falso. El ejemplo 5.13 muestra a Ereet conduciendo un   escaneo SYNIFIN exitoso de Google. Al parecer se está aburriendo con   scanme.nmap.org.

Descubrimiento de la red NMAP por Gordon "Fyodor" Lyon

    
respondido por el Florian Bidabe 19.02.2015 - 02:10
fuente

Lea otras preguntas en las etiquetas