FIN เป็นเซ็กเมนต์เดียวที่ถูกกฎหมายหรือไม่

มันจะสะดวกในการทำเครื่องหมายส่วนของ TCP ด้วยการตั้งค่าสถานะ FIN ว่าเป็นการบุกรุก (โดยไม่ติดตามการตอบกลับ)

ฉันได้สันนิษฐานเสมอว่า FIN โดยไม่ต้อง ACK ขณะที่หยาบคายและหายากเป็นกฎหมายบนพื้นฐานของการยกเลิกการเชื่อมต่อ

แต่ฉันอ่านข้อความเช่น "A FIN จะไม่ปรากฏด้วยตัวเองซึ่งเป็นสาเหตุที่ตัวกรองคำหลัก" สร้าง "ของซิสโก้ในแพ็กเก็ต ACK และ / หรือ RST มีเพียง FIN / ACK เท่านั้นที่ถูกต้อง"

1. FIN เป็นเซ็กเมนต์เดียวที่ถูกกฎหมายหรือไม่
2. ถ้าเป็นเช่นนั้นฉันจะพบได้ที่ไหนและทำไม

การวิจัยทั้งหมดครึ่งชั่วโมงบอกว่า FIN-only ไม่ถูกกฎหมาย

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

แพ็คเก็ตไม่ควรมีเพียงธง FIN แพ็คเก็ต FIN มักใช้สำหรับการสแกนพอร์ตการจับคู่เครือข่ายและกิจกรรมอื่น ๆ ที่ซ่อนตัว

https://lists.sans.org/pipermail/list/2006-June/024563.html

ส่ง ACK ที่ไม่พึงประสงค์ไปยังพอร์ตเปิดหรือปิดและคุณจะได้รับ RST ธรรมดา FIN จะไม่ปรากฏด้วยตัวเองซึ่งเป็นเหตุให้ฟิลเตอร์คีย์เวิร์ด "ที่ยอมรับ" ของซิสโก้ในแพ็กเก็ต ACK และ / หรือ RST FIN / ACK เท่านั้นที่ถูกต้อง

ไซต์ Stack Exchange อื่น ๆ เช่นhttps://security.stackexchange.com/ซึ่งอาจhttps://superuser.com/อาจดีกว่าในบริบทของการอภิปรายหัวข้อ IDS / IPS

แก้ไข:

(ด้วยคำแนะนำหมวกของรอนมอปินดูความคิดเห็นของเขา): TCP RFC ไม่ (แก้ไขต้องมาสาย ... ) ระบุอย่างชัดเจนว่าแพ็คเก็ต FIN เท่านั้นผิดกฎหมายหรือต้องมีธง FIN จะมาพร้อมกับธงอื่น ถึงกระนั้น FIN แพ็กเก็ตเพียงตัวเดียวในเครือข่ายสมัยใหม่ก็เป็นสิ่งที่ผิดปกติมีเจตนาที่จะทำ