tcp异常报文攻击检测
2021-01-23 20:58:10 Author: www.freebuf.com(查看原文) 阅读量:120 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

TCP报文标志位包括:

URG

ACK

PSH

RST

SYN

FIN

攻击者通过发送非法TCP flag组合的报文对主机造成危害。

检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN,如果标志位异常,则认为是TCP异常报文。内置规则将所有TCP异常报文全部丢弃,记录攻击日志。异常检测如下:

Syn option字段不完整(syn-64)

6个标志位全为1。

6个标志位全为0。

SYN和FIN位同时为1。

SYN和RST位同时为1。

FIN和RST位同时为1。

PSH、FIN和URG位同时为1。

仅FIN位为1。

仅URG位为1。

仅PSH位为1。

SYN/RST/FIN标记位为1的分片报文。

带有载荷的SYN、SYN-ACK报文。


文章来源: https://www.freebuf.com/articles/network/261778.html
如有侵权请联系:admin#unsafe.sh