官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
tcp异常报文攻击检测
securitysun- 关注
tcp异常报文攻击检测
简介
TCP报文标志位包括:
URG
ACK
PSH
RST
SYN
FIN
攻击者通过发送非法TCP flag组合的报文对主机造成危害。
检测异常
检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN,如果标志位异常,则认为是TCP异常报文。内置规则将所有TCP异常报文全部丢弃,记录攻击日志。异常检测如下:
Syn option字段不完整(syn-64)
6个标志位全为1。
6个标志位全为0。
SYN和FIN位同时为1。
SYN和RST位同时为1。
FIN和RST位同时为1。
PSH、FIN和URG位同时为1。
仅FIN位为1。
仅URG位为1。
仅PSH位为1。
SYN/RST/FIN标记位为1的分片报文。
带有载荷的SYN、SYN-ACK报文。
本文为 securitysun 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
securitysun LV.4
金黄色的落叶堆满心间
- 35 文章数
- 24 关注者
hyperscan在IDS和IPS产品中的应用
2022-07-11
畸形报文单包攻击检测防御原理
2022-01-08
DNS Flood类型攻防梳理和思考
2021-12-22