it-swarm.com.de

FIN-Angriff - Was ist diese Art von Angriff wirklich?

Ich wollte nur wissen, was genau der FIN-Angriff ist. Ich kenne das FIN-Flag, mit dem das Schließen einer Verbindung über TCP angezeigt wird. Aber was genau ist ein FIN-Angriff?

6
Everone Graham

Es handelt sich um einen älteren Angriff, der ursprünglich als "hinterhältiger Firewall-Bypass" gedacht war und von einigen Faktoren abhing, die heute ungewöhnlich sind: alte Unix-Betriebssysteme, fehlende Stateful-Firewalls, fehlende NIDS/NIPS usw. Es kann immer noch nützlich sein beim Testen (dh als Fingerabdrucktechnik kein Angriff an sich) völlig neue oder neuartige TCP/IP-Stapel (oder nur neu für Sie oder Ihre Umgebung), was selten ist, aber vorkommen kann.

Hier ist ein moderner Ersatz, der TCP Protokoll-Scan:

nmap --reason -n -Pn --packet-trace -g 80 -sO -p 6 <target ip>

Dies entspricht fast genau dem TCP ACK-Scan (der zum Zuordnen von Hosts, offenen Ports, Firewall-Regelsätzen usw. verwendet werden kann) mit der Einschränkung, die einige NIPS, IDS und moderne Firewalls erkennen - mit einem anderen situationsspezifischen Ereignis, bei dem möglicherweise keine Einsatzkräfte oder Sicherheitsbetriebszentren benachrichtigt werden, weil sie heutzutage wichtigere Dinge zu beachten haben):

nmap --reason -n -Pn --packet-trace -g 80 -sA -p 80 <target ip>

Die Ausgänge unterscheiden sich jedoch geringfügig, und Sie können auch die anderen Unterschiede auf Paketebene erkennen.

Was Sie suchen, um eine fortgeschrittenere Technik zu entwickeln, ist die Identifizierung der Feinheiten in den RST-Paketen und ihrer Fenstergrößen. Wenn Sie Fenstergrößen ungleich Null erhalten, möchten Sie möglicherweise die Option TCP Fenster-Scan anstelle von TCP ACK-Scan) verwenden. Weitere Informationen finden Sie unter siehe http://nmap.org/book/man-port-scanning-techniques.html

Einige andere Techniken finden Sie im NSE-Handbuch , z. B. die Firewalk- und Firewall-Bypass-Skripte. Es gibt jedoch viele andere Techniken, einschließlich BNAT, fragroute, osstmm-afd, 0trace, lft und möglicherweise andere, die andere Inline-Geräte ohne Firewall wie WAFs, IDS, IPS, Reverse-Proxys, Gateways und Täuschungssysteme wie z Honigtöpfe oder aktive Abwehrkräfte. Sie sollten sich all dessen und mehr bewusst sein, wenn Sie einen Netzwerkpenetrationstest durchführen. Diese sind jedoch nützlich, um alle Arten von Netzwerk- und Sicherheitsproblemen zu beheben.

5
atdre

FIN Attack (ich nehme an, Sie meinen FIN Scan) ist eine Art von TCP Port Scanning.

Laut RFC 793: "Der Verkehr zu einem geschlossenen Port sollte immer RST zurückgeben". RFC 793 gibt auch an, ob ein Port offen ist und für das Segment kein Flag SYN, RST oder ACK gesetzt ist. Das Paket sollte verworfen werden. Es könnte ein altes Datagramm aus einer bereits geschlossenen Sitzung sein.

Der FIN-Angriff missbraucht dies also. Wenn wir ein FIN-Paket an einen geschlossenen Port senden, erhalten wir eine RST zurück. Wenn wir keine Antwort erhalten, wissen wir, dass diese entweder von der Firewall gelöscht wird oder der Port offen ist. Außerdem ist der FIN-Angriff unsichtbarer als der SYN-Scan (Senden von SYN, um die Antwort anzuzeigen).

Viele Systeme geben jedoch immer RST zurück. Und dann ist es nicht möglich zu wissen, ob der Port offen oder geschlossen ist, zum Beispiel Windows, aber nicht UNIX.

3
Anders Nordin

FIN-Scans wie NULL-, XMAS- oder benutzerdefinierte Flags-Scans - waren und - werden verwendet, um die Firewall zu umgehen und manchmal IDS zu umgehen.

FIN-Scan: Der Hauptvorteil dieser Scan-Typen besteht darin, dass sie sich durch bestimmte nicht zustandsbehaftete Firewalls und Paketfilter-Router schleichen können. Solche Firewalls versuchen, eingehende TCP Verbindungen zu verhindern (während ausgehende Verbindungen zugelassen werden). Um die volle Firewall-Bypass-Leistung dieser Scans zu demonstrieren, ist eine eher lahme Ziel-Firewall-Konfiguration erforderlich. Bei einer modernen Stateful Firewall sollte ein FIN-Scan keine zusätzlichen Informationen liefern.

SYN/FIN Ein interessanter benutzerdefinierter Scan-Typ ist SYN/FIN. Manchmal versucht ein Firewall-Administrator oder Gerätehersteller, eingehende Verbindungen mit einer Regel zu blockieren, z. B. "Alle eingehenden Pakete nur mit dem eingestellten SYN Hag löschen". Sie beschränken es nur auf das SYN-Flag, da sie die SYN/ACK-Pakete, die als zweiter Schritt einer ausgehenden Verbindung zurückgegeben werden, nicht blockieren möchten. Das Problem bei diesem Ansatz besteht darin, dass die meisten Endsysteme anfängliche SYN-Pakete akzeptieren, die auch andere (Nicht-ACK-) Flags enthalten. Beispielsweise sendet das Fingerabdrucksystem Nmap OS ein SYN/FIN/URG/PSH-Paket an einen offenen Port. Mehr als die Hälfte der Fingerabdrücke in der Datenbank antwortet mit einem SYN/ACK. Somit ermöglichen sie das Scannen von Ports mit diesem Paket und im Allgemeinen auch das Herstellen einer vollständigen TCP Verbindung. Es ist sogar bekannt, dass einige Systeme mit SYN/ACK auf ein SYN/RST-Paket reagieren! Der TCP RFC ist nicht eindeutig, welche Flags in einem anfänglichen SYN-Paket akzeptabel sind, obwohl SYN/RST sicherlich falsch zu sein scheint. Beispiel 5.13 zeigt Ereet bei der Durchführung eines erfolgreichen SYNIFIN-Scans von Google. Anscheinend langweilt er sich mit scanme.nmap.org.

NMAP Network Discovery von Gordon "Fyodor" Lyon

2
Florian Bidabe