Toda la investigación de media hora dice que FIN-only nunca es legítimo.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
Los paquetes nunca deben contener solo una bandera FIN. Los paquetes FIN se usan con frecuencia para escaneos de puertos, mapeo de redes y otras actividades ocultas.
https://lists.sans.org/pipermail/list/2006-June/024563.html
Envíe un ACK no solicitado a un puerto abierto o cerrado y obtendrá un RST simple. Un FIN nunca aparecerá por sí mismo, razón por la cual la palabra clave "establecida" de Cisco se filtra en los paquetes ACK y / o RST. Solo FIN / ACK es válido.
Otros sitios de Stack Exchange, como /security// , posiblemente /superuser// , podrían ser mejores en el contexto de la discusión de temas de IDS / IPS.
EDITAR:
(Con el sombrero de punta a Ron Maupin, vea su comentario): El TCP RFC no (editado, debe haber sido tarde ...) declara explícitamente que un paquete FIN solo es ilegal ni que una bandera FIN DEBE ir acompañado de otra bandera. Aún así, un paquete de FIN solamente en una red moderna es algo inusual, posiblemente intencional, probablemente valga la pena mirarlo.