web-dev-qa-db-ja.com

FIN攻撃-このタイプの攻撃は本当に何ですか?

FIN攻撃とは何かを知りたかったのです。 TCP経由の接続の終了を示すために使用されるFINフラグについて知っています。しかし、FIN攻撃とは正確には何ですか?

attackstcp
6
Everone Graham

これはもともと「卑劣なファイアウォールバイパス」を目的とした古い攻撃であり、現在では一般的ではないいくつかの要因に依存していました。古いUnix OS、ステートフルファイアウォールの欠如、NIDS/NIPSの欠如など。テスト時(つまり、攻撃そのものではなくフィンガープリント技術として)、まったくまたはまったく新しいTCP/IPスタック(または単にユーザーや環境にとって新しい)です。これはまれですが、発生する可能性があります。

TCPプロトコルスキャン:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>

これは、TCP ACKスキャンとほぼ同じです(これは、ホスト、オープンポート、ファイアウォールルールセットなどをマップするために使用でき、一部のNIPS、IDS、および最新のファイアウォールが検出する警告に-インシデントレスポンダーやセキュリティオペレーションセンターには最近注目すべきより重要なことがあるので、おそらく通知しない別の状況固有のイベントがある場合)

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>

ただし、出力はわずかに異なり、他のパケットレベルの違いも確認できます。

より高度な技術を開発するために探しているのは、RSTパケットとそのウィンドウサイズの微妙な部分を識別することです。ゼロ以外のウィンドウサイズを取得した場合は、TCP ACKスキャンの代わりにTCPウィンドウスキャンを使用するように切り替えることができます。詳細については、参照 http://nmap.org/book/man-port-scanning-techniques.html

NSEガイド には、ファイアウォークスクリプトやファイアウォールバイパススクリプトなど、他のいくつかのテクニックがあります。ただし、BNAT、fragroute、osstmm-afd、0trace、lft、その他WAF、IDS、IPS、リバースプロキシ、ゲートウェイ、および詐欺システムなどのファイアウォール以外のデバイスを検出する可能性のある他の多くの手法があります。ハニーポットまたはアクティブな防御。ネットワーク侵入テストを実行している場合は、これらすべてに加えてさらに多くのことを知っておく必要がありますが、それらはあらゆる種類のネットワークおよびセキュリティの問題のトラブルシューティングに役立ちます。

5
atdre

FIN攻撃(FINスキャンを意味すると思います)は、TCPポートスキャンの一種です。

RFC 793によれば、「閉じたポートへのトラフィックは常にRSTを返すはずです」。 RFC 793には、ポートが開いていて、セグメントにフラグSYN、RST、またはACKが設定されていない場合も記載されています。パケットはドロップする必要があります。すでに閉じられているセッションからの古いデータグラムである可能性があります。

つまり、FIN攻撃はこれを悪用することです。 FINパケットを閉じたポートに送信すると、RSTが返されます。応答がない場合は、ファイアウォールによってドロップされたか、ポートが開いていることがわかります。また、FIN攻撃はSYNスキャン(応答を確認するためにSYNを送信)よりも見えにくくなっています。

ただし、多くのシステムは常にRSTを返します。そして、ポートが開いているか閉じているかを知ることはできません。たとえば、Windowsはこれを行いますが、UNIXは行いません。

3
Anders Nordin

FINスキャンは、NULL、XMAS、またはカスタムフラグスキャン-were and-がファイアウォールをバイパスするために使用され、IDSを回避するために使用されると私は引用しています。

FINスキャン:これらのスキャンタイプの主な利点は、特定の非ステートフルファイアウォールやパケットフィルタリングルーターを通過できることです。このようなファイアウォールは、着信接続を防止しようとしますTCP(発信接続を許可する一方で))これらのスキャンの完全なファイアウォールバイパス機能を実証するには、かなり不十分なターゲットファイアウォール構成が必要です。最新のステートフルファイアウォールでは、FIN scanは追加情報を生成しません。

SYN/FIN SYN/FINは、興味深いカスタムスキャンタイプの1つです。ファイアウォールの管理者またはデバイスの製造元が、「SYN Hagのみが設定されている着信パケットをすべてドロップする」などのルールで着信接続をブロックしようとする場合があります。発信接続の2番目のステップとして返​​されるSYN/ACKパケットをブロックしたくないので、SYNフラグのみに制限します。このアプローチの問題は、ほとんどのエンドシステムが他の(非ACK)フラグも含む初期SYNパケットを受け入れることです。たとえば、Nmap= OSフィンガープリントシステムは、SYN/FIN/URG/PSHパケットを開いているポートに送信します。データベース内のフィンガープリントの半分以上がSYN/ACKで応答します。このパケットによるポートスキャンを許可し、通常は完全なTCP=接続も可能にします。一部のシステムは、SYN/ACKでSYN/RSTパケットに応答することさえ知られています!TCP RFCは、最初のSYNパケットでどのフラグが受け入れられるかについてあいまいですが、SYN/RSTは確かに偽物に見えます。 org。

Gordon "Fyodor" LyonによるNMAPネットワークの発見

2
Florian Bidabe