扫描窥探攻击:
地址扫描攻击:
检查ICMP TCP UDP报文,建立源IP索引,目的IP每次不同+1,过阈值,拉黑。
端口扫描:检测TCP UDP报文,建立端口计数器
畸形报文攻击:
SMURF攻击:
对广播地址发PING包,源地址冒充为某个server。
禁止发送广播地址的PING包
LAND攻击:
伪造源目地址相同为server,并建立TCP-Syn空连接。从而服务器自己攻击自己。
源目IP相同或为环回地址,禁止转发
fraggle攻击:
UDP报文的端口号为7 (ECHO)或 19(Chargen) ,UDP会相应回复。攻击时,冒充server为源地址,向广播地址发送。
禁止发送广播地址的UDP7 和19
IP 分片攻击:
IPv4的分片字段冲突异常。
Tear Drop 攻击:
IPv4的分片错乱攻击,
IP spoofing IP源地址伪造。
反查路由表,发现IP源地址的入接口不是路由最佳入接口,IP源地址为伪造。
Ping Death,PING包大于65535。
TCP Flag攻击
6个标志位为1 圣诞树攻击
6个标志位为0 探测攻击:
端口是关闭的,回复Rst ACK消息
端口是开放的,Windows 回应RST ACK ;linux系统 不回应。
从而检查操作系统
ACK与其他的标志位组合,会触发RST,从而探测主机。
SYN-FIN-URG 触发 RST- ACK 从而从而探测主机。
WinNuke 攻击
向windows的139端口(NetBIOS)发送OOB(out-of-band)导致NetBIOS片段重叠。(检查UGR位)
对IGMP分片无法处理。
特殊报文攻击:
超大ICMP攻击:
ICMP不可达攻击: 从而切断已有连接
tracert攻击:避免检查网络结构