1. 異常包

TCP/UDP：端口值為0的包；校驗(yàn)和錯(cuò)誤的包

TCP標(biāo)志位異常包：SYN只能單獨(dú)存在或只能和ACK共存，和其他標(biāo)志共存就是異常包；沒有標(biāo)志或標(biāo)志全置的包；有ACK標(biāo)志但Acknowledgment Number為0的包；有SYN標(biāo)志但Sequence Number為0的包；有URG標(biāo)志但Urgent Pointer為0，或沒有URG標(biāo)志但Urgent Pointer不為0的包；RST和除ACK標(biāo)志之外的其他標(biāo)志共存的包；

這種攻擊標(biāo)志很明顯，防御也很容易，可以做到100%檢測(cè)并阻斷；

2. LAND攻擊

TCP層的攻擊了，不過在網(wǎng)絡(luò)層就可以防護(hù)；攻擊方發(fā)送源地址和目的地址相同的TCP SYN包，對(duì)老的某些操作系統(tǒng)就會(huì)發(fā)SYNACK包給自身，建立空連接，最終消耗盡自身資源，現(xiàn)在的操作系統(tǒng)已經(jīng)不會(huì)那么傻了，這種攻擊也可以做到100%檢測(cè)并阻斷；

3. Flood攻擊

syn flood：是TCP協(xié)議的最大弱點(diǎn)了，對(duì)syn flood攻擊的分析在另一篇文章中詳細(xì)說明了，理論上是無法真正防御的，只能進(jìn)行一定程度的緩解；

UDP flood：就是發(fā)送大量UDP包阻塞目的機(jī)通信，由于UDP是非連接協(xié)議，因此只能通過統(tǒng)計(jì)的方法來判斷，很難通過狀態(tài)檢測(cè)來發(fā)現(xiàn)，只能通過流量限制和統(tǒng)計(jì)的方法緩解；對(duì)于有些協(xié)議，服務(wù)器部分的計(jì)算量會(huì)遠(yuǎn)大于客戶端的計(jì)算量，如DNS，野蠻模式的IKE等，這些情況下flood攻擊更容易形成DOS。

4. 端口掃描

端口掃描往往是網(wǎng)絡(luò)入侵的前奏,通過端口掃描，可以了解目標(biāo)機(jī)器上打開哪些服務(wù)，有的服務(wù)是本來就是公開的，但可能有些端口是管理不善誤打開的或?qū)ｉT打開作為特殊控制使用但不想公開的，通過端口掃描可以找到這些端口，而且根據(jù)目標(biāo)機(jī)返回包的信息，甚至可以進(jìn)一步確定目標(biāo)機(jī)的操作系統(tǒng)類型，從而展開下一步的入侵。

4.1 TCP掃描

按照RFC，當(dāng)試圖連接一個(gè)沒有打開的TCP端口時(shí)，服務(wù)器會(huì)返回RST包；連接打開的TCP端口時(shí)，服務(wù)器會(huì)返回SYNACK包

合法連接掃描：

connect掃描：如果是打開的端口，攻擊機(jī)調(diào)用connect函數(shù)完成三次握手后再主動(dòng)斷開；關(guān)閉的端口會(huì)連接識(shí)別

SYN掃描：攻擊機(jī)只發(fā)送SYN包，如果打開的端口服務(wù)器會(huì)返回SYNACK，攻擊機(jī)可能會(huì)再發(fā)送RST斷開；關(guān)閉的端口返回RST；

異常包掃描：

FIN掃描：攻擊機(jī)發(fā)送FIN標(biāo)志包，Windows系統(tǒng)不論端口是否打開都回復(fù)RST；但UNIX系統(tǒng)端口關(guān)閉時(shí)會(huì)回復(fù)RST，打開時(shí)會(huì)忽略該包；可以用來區(qū)別Windows和UNIX系統(tǒng)；

ACK掃描：攻擊機(jī)發(fā)送ACK標(biāo)志包，目標(biāo)系統(tǒng)雖然都會(huì)返回RST包，但兩種RST包有差異；

對(duì)于合法連接掃描，如果SYN包確實(shí)正確的話，是可以通過防火墻的，防火墻只能根據(jù)一定的統(tǒng)計(jì)信息來判斷，在服務(wù)器上可以通過netstat查看連接狀態(tài)來判斷是否有來自同一地址的TIME_WAIT或SYN_RECV狀態(tài)來判斷。

對(duì)于異常包掃描，如果沒有安裝防火墻，確實(shí)會(huì)得到相當(dāng)好的掃描結(jié)果，在服務(wù)器上也看不到相應(yīng)的連接狀態(tài)；但如果安裝了防火墻的話，由于這些包都不是合法連接的包，通過狀態(tài)檢測(cè)的方法很容易識(shí)別出來(注意：對(duì)于標(biāo)準(zhǔn)的Linux內(nèi)核所帶防火墻netfilter的TCP狀態(tài)檢測(cè)的實(shí)現(xiàn)，ACK和FIN掃描是可以通過的，需要修改才能防御)。

4.2 UDP掃描

當(dāng)試圖連接一個(gè)沒有打開的UDP端口時(shí)，大部分類型的服務(wù)器可能會(huì)返回一個(gè)ICMP的端口不可達(dá)包，但也可能無任何回應(yīng)，由系統(tǒng)具體實(shí)現(xiàn)決定；對(duì)于打開的端口，服務(wù)器可能會(huì)有包返回，如DNS，但也可能沒有任何響應(yīng)。

UDP掃描是可以越過防火墻的狀態(tài)檢測(cè)的，由于UDP是非連接的，防火墻會(huì)把UDP掃描包作為連接的第一個(gè)包而允許通過，所以防火墻只能通過統(tǒng)計(jì)的方式來判斷是否有UDP掃描。

5. TCP緊急指針攻擊

Winnuke：對(duì)老的Windows系統(tǒng)，對(duì)TCP139端口發(fā)送帶URG標(biāo)志的包，會(huì)造成系統(tǒng)的崩潰，特征明顯，防火墻可以100%防御，但也可能誤傷；

6. TCP選項(xiàng)攻擊

相對(duì)IP選項(xiàng)，TCP選項(xiàng)利用率要高很多，很多正常包中都要用到，TCP選項(xiàng)攻擊包括：

1) 非法類型選項(xiàng)：正常的選項(xiàng)類型值為0、1、2、3、8、11、23、13，其他類型的出現(xiàn)是可疑的(類型4，5，6，7雖然定義了但被類型8取代，正常情況下也是不用的)；

2) 時(shí)間戳：用于搜集目的機(jī)的信息；

3) 選項(xiàng)長(zhǎng)度不匹配：選項(xiàng)中的長(zhǎng)度和TCP頭中說明的TCP頭長(zhǎng)度計(jì)算出的選項(xiàng)長(zhǎng)度不一致；

4) 選項(xiàng)長(zhǎng)度為0：非0、1類型的選項(xiàng)長(zhǎng)度為0，是非法的；

5) 選項(xiàng)缺失，一般SYN包中都要有MSS選項(xiàng)，沒有的話反而不正常；