¿Es legal un segmento de FIN solamente?

Sería conveniente marcar segmentos TCP solo con el conjunto de banderas FIN, como una intrusión (sin rastrear la respuesta).

Siempre he asumido que un FIN sin un ACK, aunque grosero y raro, es legal, basado en la terminación de la conexión .

Pero luego leí declaraciones como "A FIN nunca aparecerá por sí mismo, por eso los filtros de palabras clave" establecidos "de Cisco en los paquetes ACK y / o RST. Solo FIN / ACK es válido".

1. ¿Es legal un segmento de FIN solamente?
2. Si es así, ¿dónde podría encontrar uno y por qué?

Toda la investigación de media hora dice que FIN-only nunca es legítimo.

http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html

Los paquetes nunca deben contener solo una bandera FIN. Los paquetes FIN se usan con frecuencia para escaneos de puertos, mapeo de redes y otras actividades ocultas.

https://lists.sans.org/pipermail/list/2006-June/024563.html

Envíe un ACK no solicitado a un puerto abierto o cerrado y obtendrá un RST simple. Un FIN nunca aparecerá por sí mismo, razón por la cual la palabra clave "establecida" de Cisco se filtra en los paquetes ACK y / o RST. Solo FIN / ACK es válido.

Otros sitios de Stack Exchange, como /security// , posiblemente /superuser// , podrían ser mejores en el contexto de la discusión de temas de IDS / IPS.

EDITAR:

(Con el sombrero de punta a Ron Maupin, vea su comentario): El TCP RFC no (editado, debe haber sido tarde ...) declara explícitamente que un paquete FIN solo es ilegal ni que una bandera FIN DEBE ir acompañado de otra bandera. Aún así, un paquete de FIN solamente en una red moderna es algo inusual, posiblemente intencional, probablemente valga la pena mirarlo.