说明TCP中的SYN、RST、FIN中可能出现的扫描攻击?

在TCP报文的报头中，有几个标志字段： 1、 SYN：同步连接序号，TCP SYN报文就是把这个标志设置为1，来请求建立连接； 2、 ACK：请求/应答状态。0为请求，1为应答； 3、 FIN：结束连线。如果FIN为0是结束连线请求，FIN为1表示结束连线； 4、 RST：连线复位，首先断开连接，然后重建； 5、 PSH：通知协议栈尽快把TCP数据提交给上层程序处理。 可能出现的扫描：（33/ppt11 － 43/ppt11 介绍了下面各种扫描的做法及优缺点） §基本的TCP connect()扫描 §TCP SYN扫描(半开连接扫描, half open) §TCP Fin扫描(秘密扫描，stealth) §TCP ftp proxy扫描(bounce attack) §用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) §UDP recvfrom扫描 §UDP ICMP端口不可达扫描 §Reverse-ident扫描 （针对TCP中SYN、RST、FIN标志字段可能出现的攻击，记一下名称应该就可以了） 端口扫描攻击： 1、 发出端口号从0开始依次递增的TCP SYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）； 2、 如果收到了针对这个TCP报文的RST报文，或针对这个UDP报文的ICMP不可达报文，则说明这个端口没有开放； 3、 相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放）。 这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。 TCP SYN拒绝服务攻击； 1、 攻击者向目标计算机发送一个TCP SYN报文； 2、 目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应； 3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。 分片IP报文攻击： 为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。 目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。 SYN比特和FIN比特同时设置： 正常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）是不能同时出现在一个TCP报文中的。