簡介
入侵檢測篩選器
IP 半掃描攻擊:
該警報通知您有人反覆嘗試傳送帶有無效標誌的傳輸控制協定 (TCP)
數據包。
方式
在正常的 TCP 連線中,源系統通過向目標系統上的連線埠傳送 SYN
數據包來初始化連線。如果有服務正在該連線埠上偵聽,該服務將發出 SYN/ACK
數據包作為回響。然後初始化連線的客戶端發出 ACK
數據包作為回響,從而建立連線。如果目標
主機等待的不是指定連線埠上的連線,將發出 RST
數據包作為回響。在收到來自源系統的最後一個 ACK
數據包之前,大多數系統日誌都不會記錄完成的連線。不按照此順序傳送其他類型的
數據包會導致目標
主機發出有用的回響,但不會導致連線被記入日誌中。這稱為 TCP 半掃描或秘密掃描,因為它不在所掃描的
主機上生成日誌條目。
