不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。
什么是TCP flag
TCP 异常攻击防护功能开启后,默认情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包。当安全网关检测到以下各种情况,就会判断为受到TCP 异常攻击:
TCP 包仅设置了FIN flag;
TCP 包没有设置flag;
TCP 包的FIN 和RST flag 同时被设置;
TCP 包的SYN 和URG flag 同时被设置;
TCP 包的SYN 和RST flag 同时被设置;
TCP 包的SYN 和FIN flag 同时被设置;