1、syn扫描要怎么判断来阻止？ 2、为什么一些135端口连接不上，三次握手没有响应？

lin_style 2008-07-04 05:32:25

SYN：怎么判断说是不是在SYN扫描，不是模拟了一个正常的TCP握手包吗？
135端口：我connect上去，用tcpdump抓包，发第一个握手协议时，135根本没响应，就着就断掉了

...全文

54 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

lin_style 2008-07-05

打赏
举报

回复

[Quote=引用 2 楼 lsyer 的回复:]
1.多次syn而不建立连接则可以认为有可能是SYN拒绝服务攻击。
2.135是否开了防火墙？或者没开？
[/Quote]
135我后来查了下资料，他用的是主动的外连，而不是accept

至于兄台说的第一点，如果是多次，但起码第一次也要返回吧。

lsyer 2008-07-04

打赏
举报

回复

1.多次syn而不建立连接则可以认为有可能是SYN拒绝服务攻击。
2.135是否开了防火墙？或者没开？

lin_style 2008-07-04

打赏
举报

回复

SF

在渗透测试的初步阶段通常我们都需要对攻击目标进行信息搜集，而端口扫描就是信息搜集中至关重要的一个步骤。通过端口扫描我们可以了解到目标主机都开放了哪些服务，甚至能根据服务猜测可能存在某些漏洞。 TCP端口扫描一般分为以下几种类型： TCP connect扫描：也称为全连接扫描，这种方式直接连接到目标端口，完成了TCP三次握手的过程，这种方式扫描结果比较准确，但速度比较慢而且可轻易被目标系统检测到。 TCP SYN扫描：也称为半开放扫描，这种方式将发送一个SYN包，启动一个TCP会话，并等待目标响应数据包。如果收到的是一个RST包，则表明端口是关闭的，而如果收到的是一个SYN/ACK包，则表示相应

端口扫描技术分类：这里都不考虑防火墙的情况。 1. 完全连接扫描完全连接，利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接，如果建立成功，则表明该端口开放。否则表明该端口关闭。 2. 半连接扫描半连接扫描是指在源主机和目标主机的三次握手连接过程中，只完成前两次握手，不建立异常完整的连接。 3. SYN扫描首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端

1．开放扫描其中***代表性的就是TCP连接扫描，需要扫描方通过三次握手过程与目标主机建立完整的TCP连接，可靠性高，但是在扫描的过程中会产生大量审计数据。这种扫描在有些场合是非常有用的，它可以作为正常扫描行为，直接由网络管理员使用。 2．半开放扫描开放扫描时需要TCP进行一个正常的连接，而半开放扫描不需要正常的连接，只是一个部分行为。扫描的时候只是利用TCP正常连接的某一个部分来完成操作。常见的半开放扫描方法有TCP SYN扫描、TCP ACK扫描等。 3．隐秘扫描在半开放扫描中还包括..

TCP connect（全连接）扫描器会向服务器目标端口发送TCP包进行连接，如果服务器端口是开放的会进行TCP连接和TCP三次握手，这也称为全连接。如果服务器的端口是关闭的，则不会进行连接。优点：1.TCP连接可靠，当出现丢包时会重新发送SYN帧。2.因为进行TCP全连接，所以测试相对准确。缺点：扫描的时间较长，容易被目标主机发现。 TCP SYN（半连接）扫描器会向服务器目标端口发送SUN数据帧，服务器开放的端口会回复SYN+ACK数据包，如果扫描器收到SYN+ACK数据包，说明此端口开放

服务器在收到连接请求时将标志位 ACK和 SYN 置1发送给客户端(握手的第二步)，但是这些客户端的IP地址都是伪造的，服务器根本找不到客户机，也就是说握手的第三步不可能完成。一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。报文，因此不能一起发送。

Linux/Unix社区

23,118

社区成员

74,507

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章