我对 SYN Flood 和端口扫描攻击之间的区别感到困惑。知道 TCP SYN Flood 通常被称为“半开”扫描,因为您没有打开完整的 TCP 连接。您发送一个 SYN 数据包,就好像您要打开一个真正的连接并等待响应一样。端口扫描会改变目标端口,但我认为它们有类似的操作,如果不是,请我需要澄清。
问问题
1970 次
1 回答
0
目的是消耗 'half-open' 和 'open' 的 tcp backlog。http://www.ryanfrantz.com/posts/apache-tcp-backlog/
通常,如果源(ip/port)和目标(ip/port)之间的关系是'1:N',则称为扫描。如果'N:1',则称为泛洪。
扫描和泛洪被检测为协议结构条件。顺便说一句,所有流量都有一个协议结构。所以很难准确检测。
扫描误报示例
泛滥误报示例
于 2017-04-24T13:37:56.927 回答