TCP SYN 扫描
类别:端口扫描
描述:TCP SYN 扫描是端口扫描的变体。端口扫描用来检查给定主机上的端口是否打开。收集此类信息是跟踪足迹(先前的攻击种类中讨论过)的一部分,用来获得主机上的额外信息。知道主机上哪些端口是打开的,对于攻击者推断目标主机上可能存在的弱点是重要的第一步。
TCP 端口扫描的最简单形式是打开一个到主机所有端口的连接。如果成功地打开了到给定端口的连接,则攻击者知道该服务是可用的。但是,因为操作系统和/或工具可能会记录此类行为并因此察觉端口扫描,所以,攻击者通常想在被扫描主机不知道的情况下执行端口扫描。在本节中,我将讨论攻击者所使用的一种端口扫描形式,它不会被目标主机轻易地侦测到。
TCP SYN 扫描也称为半开扫描。顾名思义,攻击者只是部分地打开连接。要实现这一点,攻击者向目标主机发送设置了 SYN 标志的 TCP 包,就象打开常规 TCP 连接时一样。如果该端口是打开的,则被扫描主机返回设置了 SYN 和 ACK 标志的包进行响应。如果端口未打开,则被扫描主机发送设置了 RST 和 ACK 标志的包。
在被扫描主机返回了 SYN/ACK 包后,连接在服务器端将进入挂起状态,表明连接正处于建立的过程中,但还没有完全建立。但是,攻击者会发送设置了 RST 和 ACK 标志的包回应 SYN/ACK 包。这将触发被扫描主机再次关闭已部分建立的连接。
这种攻击的想法是找出特定目标主机上打开的端口,但完成的方式非常狡猾,因此被攻击的主机或质量低劣的入侵检测工具不会发现。
SYN 扩散
种类:拒绝服务攻击
描述:在 Smurf 攻击流行之前,SYN 扩散攻击是最具破坏性的拒绝服务攻击。如上所述,当主机 A 想建立到目的地主机 D 的 TCP 连接时,它首先发送设置了 SYN 标志的 TCP 段。当接收这个段时,主机 D 通过返回设置了 SYN 和 ACK 标志的包确认它。但主机 D 同时将挂起(部分打开的)连接放到挂起连接队列中。当等待连接的发起方(主机 A)的确认时,连接保持挂起状态。
主机 D 在特定的超时周期以内等待确认的到来,通常根据中断的 IP 实现从 75 秒到 25 分钟不等。因为挂起连接队列大小有限(大约是十二个左右的连接),所以最终将被填满。您会发现,攻击者只要每十秒钟左右发送几个 SYN 包就可以禁用特定端口。这种攻击方法是一种非常严重的拒绝服务攻击方式,因为在接收新的 SYN 包之前,被攻击的系统将永远无法清除积压队列,因此也就无法响应任何其它请求。
这种攻击的动机也很明显。攻击者想要使特定服务(例如 Web 服务器)瘫痪。您可以再次发现,对攻击者一方而言,只需少得惊人的资源就可以执行这种攻击。
阅读(2120) | 评论(0) | 转发(0) |
