【发布时间】:2017-04-24 04:14:00
【问题描述】:
我对 SYN Flood 和端口扫描攻击之间的区别感到困惑。 知道 TCP SYN Flood 通常被称为“半开”扫描,因为您没有打开完整的 TCP 连接。您发送一个 SYN 数据包,就好像您要打开一个真正的连接并等待响应一样。 端口扫描会改变目标端口,但我认为它们有类似的操作,如果不是,我需要澄清一下。
【问题讨论】:
标签: wireshark port-scanning syn
我对 SYN Flood 和端口扫描攻击之间的区别感到困惑。 知道 TCP SYN Flood 通常被称为“半开”扫描,因为您没有打开完整的 TCP 连接。您发送一个 SYN 数据包,就好像您要打开一个真正的连接并等待响应一样。 端口扫描会改变目标端口,但我认为它们有类似的操作,如果不是,我需要澄清一下。
【问题讨论】:
标签: wireshark port-scanning syn
目的是消耗 'half-open' 和 'open' 的 tcp backlog。 http://www.ryanfrantz.com/posts/apache-tcp-backlog/
一般情况下,如果源(ip/port)和目的(ip/port)之间的关系是'1:N',则称为扫描。如果是'N:1',则称为泛洪。
扫描和泛洪被检测为协议结构条件。顺便说一句,所有流量都有一个协议结构。因此很难准确检测。
【讨论】: