Все полчаса исследований говорят о том, что FIN-только никогда не является законным.
http://www.whitehats.ca/main/members/Seeker/seeker_tcp_header/seeker_tcp_header.html
Пакеты никогда не должны содержать только флаг FIN. Пакеты FIN часто используются для сканирования портов, отображения сети и других скрытых действий.
https://lists.sans.org/pipermail/list/2006-June/024563.html
Отправьте незапрошенный ACK на открытый или закрытый порт, и вы получите простой RST. FIN никогда не появится сам по себе, поэтому «установленные» ключевые слова Cisco фильтруют пакеты ACK и / или RST. Только FIN / ACK действителен.
Другие сайты Stack Exchange, такие как https://security.stackexchange.com/ , возможно https://superuser.com/ , могут быть лучше в контексте обсуждения тем IDS / IPS.
РЕДАКТИРОВАТЬ:
(С советами Рона Мопина, см. Его комментарий): TCP RFC не (отредактировано, должно быть, было поздно ...) явно заявляет, что пакет только для FIN является недопустимым, и что флаг FIN ДОЛЖЕН сопровождаться другим флагом. Тем не менее, пакет FIN только в современной сети - это что-то необычное, вполне преднамеренное, на это, вероятно, стоит обратить внимание.