TCP SYN 扫描也称为半开扫描。顾名思义，攻击者只是部分地打开连接。要实现这一点，攻击者向目标主机发送设置了 SYN 标志的 TCP 包，就象打开常规 TCP 连接时一样。如果该端口是打开的，则被扫描主机返回设置了 SYN 和 ACK 标志的包进行响应。如果端口未打开，则被扫描主机发送设置了 RST 和 ACK 标志的包。

　　在被扫描主机返回了 SYN/ACK 包后，连接在服务器端将进入挂起状态，表明连接正处于建立的过程中，但还没有完全建立。但是，攻击者会发送设置了 RST 和 ACK 标志的包回应 SYN/ACK 包。这将触发被扫描主机再次关闭已部分建立的连接。

　　这种攻击的想法是找出特定目标主机上打开的端口，但完成的方式非常狡猾，因此被攻击的主机或质量低劣的入侵检测工具不会发现。

　　SYN 扩散

　　种类:拒绝服务攻击

　　描述:在 Smurf 攻击流行之前，SYN 扩散攻击是最具破坏性的拒绝服务攻击。如上所述，当主机 A 想建立到目的地主机 D 的 TCP 连接时，它首先发送设置了 SYN 标志的 TCP 段。当接收这个段时，主机 D 通过返回设置了 SYN 和 ACK 标志的包确认它。但主机 D 同时将挂起(部分打开的)连接放到挂起连接队列中。当等待连接的发起方(主机 A)的确认时，连接保持挂起状态。

　　主机 D 在特定的超时周期以内等待确认的到来，通常根据中断的 IP 实现从 75 秒到 25 分钟不等。因为挂起连接队列大小有限(大约是十二个左右的连接)，所以最终将被填满。您会发现，攻击者只要每十秒钟左右发送几个 SYN 包就可以禁用特定端口。这种攻击方法是一种非常严重的拒绝服务攻击方式，因为在接收新的 SYN 包之前，被攻击的系统将永远无法清除积压队列，因此也就无法响应任何其它请求。

　　这种攻击的动机也很明显。攻击者想要使特定服务(例如 Web 服务器)瘫痪。您可以再次发现，对攻击者一方而言，只需少得惊人的资源就可以执行这种攻击。

　　结束语

　　沉浸在计算机安全性的世界里会感觉既可怕同时又令人着迷:可怕是因为您会慢慢了解攻击者用非常简单的方法(作为安全初学者，您可能从未注意过这些事情)能造成什么样的破坏。令人着迷是因为您学得越多，就越能发现改进的余地和随之而来的新工作。

上一页  [1] [2] [3] [4] [5]