Volevo solo sapere cos'è esattamente l'attacco FIN. Conosco il flag FIN usato per indicare la chiusura di una connessione via TCP. Ma cos'è esattamente l'attacco FIN?
Volevo solo sapere cos'è esattamente l'attacco FIN. Conosco il flag FIN usato per indicare la chiusura di una connessione via TCP. Ma cos'è esattamente l'attacco FIN?
Si tratta di un vecchio attacco originariamente inteso come un "subdolo, bypass del firewall" che dipendeva da alcuni fattori oggi non comuni: vecchi sistemi operativi Unix, mancanza di firewall stateful, mancanza di NIDS / NIP, ecc. Può essere ancora utile quando si prova (vale a dire, come tecnica di impronte digitali non un attacco di per sé) stack TCP / IP completamente nuovi o nuovi (o solo nuovi per te o il tuo ambiente), che è raro ma può succedere.
Ecco una sostituzione moderna, la scansione del protocollo TCP:
nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>
Che è quasi esattamente uguale alla scansione TCP ACK (che può essere utilizzata per mappare host, porte aperte, set di regole firewall, ecc. con l'avvertenza che alcuni NIPS, IDS e firewall moderni rileveranno - con un'altra situazione- evento specifico in cui forse non notificherà i soccorritori degli incidenti oi Centri operativi di sicurezza perché hanno cose più importanti da guardare in questi giorni):
nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>
Ma le uscite sono leggermente diverse e puoi vedere anche le altre differenze a livello di pacchetto.
Quello che stai cercando per sviluppare una tecnica più avanzata è identificare le sottigliezze nei pacchetti RST e le dimensioni delle finestre. Se si ottengono dimensioni della finestra diverse da zero, è possibile passare a utilizzare la scansione Finestra TCP anziché la scansione ACK TCP. Per ulteriori informazioni, consulta link
Alcune altre tecniche si trovano nella guida NSE , come gli script di bypass del firewall e di firewall. Tuttavia, ci sono molte altre tecniche tra cui BNAT, fragroute, osstmm-afd, 0trace, lft e potenzialmente altre che rilevano altri dispositivi non lineari, non firewall come WAF, IDS, IPS, proxy inversi, gateway e sistemi di inganno come honeypot o difese attive. Dovresti essere a conoscenza di tutto questo e di più se stai eseguendo un test di penetrazione della rete, ma sono utili per la risoluzione di tutti i problemi di rete e di sicurezza.
FIN Attack (presumo che tu intenda FIN Scan) è un tipo di scansione della porta TCP.
Secondo RFC 793: "Il traffico verso una porta chiusa dovrebbe sempre restituire RST". RFC 793 indica anche se una porta è aperta e il segmento non ha flag impostato SYN, RST o ACK. Il pacchetto dovrebbe essere eliminato. Potrebbe essere un vecchio datagramma da una sessione già chiusa.
Quindi ciò che fa l'attacco FIN è abusarne. Se inviamo un pacchetto FIN a una porta chiusa otteniamo un RST di nuovo. Se non riceviamo alcuna risposta, sappiamo che viene eliminato dal firewall o la porta è aperta. Inoltre, l'attacco FIN è più invisibile rispetto alla scansione SYN (inviando SYN per vedere la risposta).
Tuttavia, molti sistemi restituiscono sempre RST. E poi non è possibile sapere se la porta è aperta o chiusa, ad esempio Windows fa questo ma non UNIX.
Scansioni FIN, come NULL, XMAS o flag personalizzati scansioni - sono stati utilizzati e - per aggirare il firewall e talvolta eludere IDS, cito:
FIN Scan: The key advantage to these scan types is that they can sneak through certain non-stateful firewalls and packet filtering routers. Such firewalls try to prevent incoming TCP connections (while allowing outbound ones) Demonstrating the full , firewall-bypassing power of these scans requires a rather lame target firewall configuration. With a modern stateful firewall, a FIN scan should not produce any extra information.
SYN/FIN One interesting custom scan type is SYN/FIN. Sometimes a firewall administrator or device manufacturer will attempt to block incoming connections with a rule such as "drop any incoming packets with only the SYN Hag set". They limit it to only the SYN flag because they don't want to block the SYN/ACK packets which are returned as the second step of an outgoing connection. The problem with this approach is that most end systems will accept initial SYN packets which contain other (non-ACK) flags as well. For example, the Nmap OS fingerprinting system sends a SYN/FIN/URG/PSH packet to an open port. More than half of the fingerprints in the database respond with a SYN/ACK. Thus they allow port scanning with this packet and generally allow making a full TCP connection too. Some systems have even been known to respond with SYN/ACK to a SYN/RST packet! The TCP RFC is ambiguous as to which flags are acceptable in an initial SYN packet, though SYN/RST certainly seems bogus. Example 5.13 shows Ereet conducting a successful SYNIFIN scan of Google. He is apparently getting bored with scanme.nmap.org.
NMAP Network Discovery di Gordon "Fyodor" Lione