| TCP FIN-scans zijn een soort netwerkscan die wordt gebruikt bij beveiligingsaudits en penetratietests om open en gesloten poorten op een doelsysteem te identificeren. In tegenstelling tot andere scans die actief proberen een verbinding tot stand te brengen (zoals TCP SYN-scans), verzendt een FIN-scan een TCP-pakket met de FIN-vlag ingesteld op de doelpoort.
Hier leest u hoe het werkt en wat de reacties aangeven:
* Open poort: Als de poort open is, negeert het doelsysteem doorgaans het FIN-pakket. Dit komt omdat een FIN-pakket deel uitmaakt van het normale proces voor het beëindigen van een TCP-verbinding, en een open poort zo'n pakket niet uit het niets verwacht of verwerkt. De scan zal waarschijnlijk een time-out krijgen of geen reactie ontvangen.
* Gesloten poort: Als de poort gesloten is, reageert het doelsysteem met een TCP RST (reset)-pakket. Dit geeft aan dat de poort niet naar verbindingen luistert.
* Gefilterde poort: Als een firewall of ander netwerkapparaat de scan blokkeert, reageert het doelsysteem helemaal niet. Dit resulteert in een time-out of geen reactie, vergelijkbaar met een open poort. Dit is de dubbelzinnigheid van FIN-scans.
Waarom FIN-scans gebruiken?
FIN-scans hebben een potentieel voordeel ten opzichte van andere TCP-scans omdat de kans kleiner is dat ze worden gedetecteerd door inbraakdetectiesystemen (IDS). Dit komt omdat ze niet actief proberen een verbinding tot stand te brengen, wat vaak een handtekening is die een waarschuwing activeert. Dit stealth-voordeel neemt echter af naarmate er meer geavanceerde IDS-systemen worden ontwikkeld.
Beperkingen van FIN-scans:
* Dubbelzinnigheid: Het grootste nadeel van FIN-scans is het onvermogen om onderscheid te maken tussen open en gefilterde poorten. Beide resulteren in geen reactie of een time-out.
* Firewall-ontduiking is niet gegarandeerd: Hoewel ze sommige eenvoudigere IDS kunnen omzeilen, kunnen geavanceerdere systemen ze detecteren.
* Niet betrouwbaar op alle systemen: Sommige systemen reageren mogelijk anders dan verwacht, wat tot onnauwkeurige resultaten kan leiden.
Samenvattend bieden FIN-scans een onopvallendere benadering van poortscannen dan andere methoden, maar deze stealth gaat ten koste van de nauwkeurigheid. Ze kunnen het beste worden gebruikt in combinatie met andere scantechnieken om een completer beeld te krijgen van de open poorten en de beveiligingssituatie van het doelsysteem. |
