TCP FIN -skanningar är en typ av nätverksskanning som används vid säkerhetsrevision och penetrationstest för att identifiera öppna och stängda portar på ett målsystem. Till skillnad från andra skanningar som aktivt försöker upprätta en anslutning (som TCP SYN -skanningar), skickar en FIN -skanning ett TCP -paket med finflaggan inställd på målporten.
Så här fungerar det och vad svaren indikerar:
* Öppen port: Om porten är öppen ignorerar målsystemet vanligtvis finpaketet. Detta beror på att ett finpaket är en del av den normala TCP -anslutningsprocessen, och en öppen port förväntar sig inte eller bearbetar ett sådant paket ur det blå. Skanningen kommer sannolikt att gå ut eller få inget svar.
* stängd port: Om porten är stängd svarar målsystemet med ett TCP RST (RESET) -paket. Detta indikerar att porten inte lyssnar på anslutningar.
* filtrerad port: Om en brandvägg eller annan nätverksenhet blockerar skanningen kommer målsystemet inte att svara alls. Detta resulterar i en timeout eller inget svar, liknande en öppen port. Detta är tvetydigheten i finskanningar.
Varför använda finskanningar?
FIN -skanningar har en potentiell fördel jämfört med andra TCP -skanningar eftersom de är mindre benägna att detekteras av intrångsdetekteringssystem (ID). Detta beror på att de inte aktivt försöker initiera en anslutning, som ofta är en signatur som utlöser en varning. Denna stealth -fördel minskar emellertid när mer sofistikerade IDS -system utvecklas.
Begränsningar av finskanningar:
* tvetydighet: Den största nackdelen med finskanningar är oförmågan att skilja mellan öppna och filtrerade portar. Båda resulterar i inget svar eller en timeout.
* brandväggsundvikelse är inte garanterad: Medan de kan undvika några enklare ID:er, kan mer avancerade system upptäcka dem.
* inte pålitlig över alla system: Vissa system kan svara annorlunda än väntat, vilket leder till felaktiga resultat.
Sammanfattningsvis erbjuder finskanningar ett stealthier tillvägagångssätt för portskanning än andra metoder, men denna stealth kommer till kostnaden för noggrannhet. De används bäst i samband med andra skanningstekniker för att få en mer fullständig bild av målsystemets öppna portar och säkerhetsställning.
