tcp异常报文攻击检测

简介

TCP报文标志位包括:

URG

ACK

PSH

RST

SYN

FIN

攻击者通过发送非法TCP flag组合的报文对主机造成危害。

检测异常

检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN,如果标志位异常,则认为是TCP异常报文。内置规则将所有TCP异常报文全部丢弃,记录攻击日志。异常检测如下:

Syn option字段不完整(syn-64)

6个标志位全为1。

6个标志位全为0。

SYN和FIN位同时为1。

SYN和RST位同时为1。

FIN和RST位同时为1。

PSH、FIN和URG位同时为1。

仅FIN位为1。

仅URG位为1。

仅PSH位为1。

SYN/RST/FIN标记位为1的分片报文。

带有载荷的SYN、SYN-ACK报文。

相关推荐: 老赛棍版端口,扫别人没扫到的资产

前言 本人参加了2020届A市、B市及C市的攻防演练,此次分享下在地市攻防演练中Goby的使用技巧。本人为合法合规扫描! 请大家不要做未授权测试!请大家不要做未授权测试!请大家不要做未授权测试! 0x001 获取目标信息 因为某些敏感原因,这部分干脆以长沙为例…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/4944.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注