连接关闭:在发送完所有数据之后 , 通信伙伴中的一方想要关闭连接 。假设是客户机要终止连接 。它将通过向服务器发送设置了 FIN 标志的 TCP 包来完成该操作 。服务器将通过返回设置了 ACK 标志的包进行确认 。从此刻起 , 客户机将不再向服务器发送任何数据 。它将仅以空段确认由服务器发送的数据 。当服务器关闭客户机流时 , 连接关闭 。
讲完了预备知识 , 我将向您介绍两个 TCP 攻击的示例 。
TCP SYN 扫描
类别:端口扫描
描述:TCP SYN 扫描是端口扫描的变体 。端口扫描用来检查给定主机上的端口是否打开 。收集此类信息是跟踪足迹(先前的攻击种类中讨论过)的一部分 , 用来获得主机上的额外信息 。知道主机上哪些端口是打开的 , 对于攻击者推断目标主机上可能存在的弱点是重要的第一步 。
TCP 端口扫描的最简单形式是打开一个到主机所有端口的连接 。如果成功地打开了到给定端口的连接 , 则攻击者知道该服务是可用的 。但是 , 因为操作系统和/或工具可能会记录此类行为并因此察觉端口扫描 , 所以 , 攻击者通常想在被扫描主机不知道的情况下执行端口扫描 。在本节中 , 我将讨论攻击者所使用的一种端口扫描形式 , 它不会被目标主机轻易地侦测到 。
TCP SYN 扫描也称为半开扫描 。顾名思义 , 攻击者只是部分地打开连接 。要实现这一点 , 攻击者向目标主机发送设置了 SYN 标志的 TCP 包 , 就象打开常规 TCP 连接时一样 。如果该端口是打开的 , 则被扫描主机返回设置了 SYN 和 ACK 标志的包进行响应 。如果端口未打开 , 则被扫描主机发送设置了 RST 和 ACK 标志的包 。
在被扫描主机返回了 SYN/ACK 包后 , 连接在服务器端将进入挂起状态 , 表明连接正处于建立的过程中 , 但还没有完全建立 。但是 , 攻击者会发送设置了 RST 和 ACK 标志的包回应 SYN/ACK 包 。这将触发被扫描主机再次关闭已部分建立的连接 。
这种攻击的想法是找出特定目标主机上打开的端口 , 但完成的方式非常狡猾 , 因此被攻击的主机或质量低劣的入侵检测工具不会发现 。
SYN 扩散
种类:拒绝服务攻击
描述:在 Smurf 攻击流行之前 , SYN 扩散攻击是最具破坏性的拒绝服务攻击 。如上所述 , 当主机 A 想建立到目的地主机 D 的 TCP 连接时 , 它首先发送设置了 SYN 标志的 TCP 段 。当接收这个段时 , 主机 D 通过返回设置了 SYN 和 ACK 标志的包确认它 。但主机 D 同时将挂起(部分打开的)连接放到挂起连接队列中 。当等待连接的发起方(主机 A)的确认时 , 连接保持挂起状态 。
主机 D 在特定的超时周期以内等待确认的到来 , 通常根据中断的 IP 实现从 75 秒到 25 分钟不等 。因为挂起连接队列大小有限(大约是十二个左右的连接) , 所以最终将被填满 。您会发现 , 攻击者只要每十秒钟左右发送几个 SYN 包就可以禁用特定端口 。这种攻击方法是一种非常严重的拒绝服务攻击方式 , 因为在接收新的 SYN 包之前 , 被攻击的系统将永远无法清除积压队列 , 因此也就无法响应任何其它请求 。
这种攻击的动机也很明显 。攻击者想要使特定服务(例如 Web 服务器)瘫痪 。您可以再次发现 , 对攻击者一方而言 , 只需少得惊人的资源就可以执行这种攻击 。
推荐阅读
![罗非冷冻饵料配方,钓罗非冷冻饵料制作配方细谈[图]-](http://img.jiangsulong.com/220627/23412I111-0-lp.jpg)
- 一次对客户APP渗透测试服务 深挖漏洞防止攻击的办法
- 漏洞利用复现,看看黑客如何入侵服务器
- 腾讯万亿级Elasticsearch技术解密
- 客厅家具风水大解密
- 亚马逊摄像头被黑客入侵,智能家居隐私问题引人忧虑
- 黑客在网站渗透开始前要做的事你知道是什么?
- 物理访问黑客时代已去,远程访问黑客时代到来
- 为什么黑客都用Linux系统?原来是这四大原因
- 你的网络数据安全吗?知道数据常用的加解密方法吗?
- XSS跨站脚本攻击剖析与防御