【问题标题】:what is difference between syn flood and port scan attack?syn flood和端口扫描攻击有什么区别?
【发布时间】:2017-04-24 04:14:00
【问题描述】:

我对 SYN Flood 和端口扫描攻击之间的区别感到困惑。 知道 TCP SYN Flood 通常被称为“半开”扫描,因为您没有打开完整的 TCP 连接。您发送一个 SYN 数据包,就好像您要打开一个真正的连接并等待响应一样。 端口扫描会改变目标端口,但我认为它们有类似的操作,如果不是,我需要澄清一下。

【问题讨论】:

    标签: wireshark port-scanning syn


    【解决方案1】:

    目的是消耗 'half-open' 和 'open' 的 tcp backlog。 http://www.ryanfrantz.com/posts/apache-tcp-backlog/

    一般情况下,如果源(ip/port)和目的(ip/port)之间的关系是'1:N',则称为扫描。如果是'N:1',则称为泛洪。

    扫描和泛洪被检测为协议结构条件。顺便说一句,所有流量都有一个协议结构。因此很难准确检测。

    扫描误报示例

    泛滥误报示例

    【讨论】:

    • 感谢康先生,'N' 的最小值和最大值是多少才能被视为扫描或洪水攻击?
    • 没有合适的最小值和最大值。需要根据情况做出适当的反应。扫描或泛洪时,首先要检查访问是否与服务器的目的一致。此外,还应与正常情况下的接近量进行比较。
    • 谢谢先生,感谢您的回复
    猜你喜欢
    • 1970-01-01
    • 2019-04-29
    • 2019-10-23
    • 2011-08-22
    • 1970-01-01
    • 2010-09-06
    • 1970-01-01
    • 1970-01-01
    • 2013-11-28
    相关资源
    最近更新 更多