畸形的tcp报文

最新推荐文章于 2024-04-30 07:11:29 发布
原创 最新推荐文章于 2024-04-30 07:11:29 发布 · 6.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #安全

本文介绍了TCP报文的6个标志位(URG、ACK、PSH、RST、SYN、FIN)及其组合在主机和端口探测中的应用。不同标志位组合可能导致接收方返回不同类型的应答,例如RST|ACK或SYN|ACK,这可用于识别主机存在、端口状态以及操作系统类型。圣诞树攻击即所有标志位都为1,是一种特殊的情况。

      TC报文包含6个标志位:URG 、ACK 、PSH 、RST 、SYN 、FIN ,不同的系统对这些标志位组合的应答是不同的。   

       a).6个标志全部为1 ,也就是圣诞树攻击;  

       b).6个标志全部为0 ,如果端口是关闭的,会使接收方应答一个RST | ACK消息,而对于一个开放端口的Linux和UNIX机器则不会应答,而Windows机器将回答RST | ACK消息。这可用于操作系统探测。   

       c).不管端口是打开还是关闭,ACK与除RST外的其它任何一个状态位组合在一起  都会引起一个还没有发送请求的接收方的一个RST应答,这可用于探测主机的存在。 

      d).不管端口是打开还是关闭SYN | FIN | URG 会让接收方发送一个RST | ACK 应答,这可用于探测主机的存在。

      e).如果端口是关闭的,SYN、SYN | FIN、SYN | PUSH、SYN | FIN | PUSH、SYN|URG  SYN | URG | PUSH、SYN | FIN | URG | PUSH会使接收方应答一个RST | ACK消息;如果端口是打开的,会使接收方应答一个 SYN | ACK消息,这可用于主机探测和端口探测。

       f).如果端口是关闭的FIN、URG、PUSH、URG|FIN、URG|PUSH、FIN|PUSH   URG|FIN|PUSH 会使接收方应答一个RST | ACK消息,而对于一个开放端口  Linux和UNIX机器不会应答,而Windows机器将回答RST | ACK消息,这可用于操作系统探测。 

引用自:
畸形报文攻击种类及防御_nny715的博客-优快云博客_畸形报文

只用于自行记录,若侵删

recklesszhang
关注
H3C接入交换机收到大量上行口(连接汇聚交换机)TC报文该怎么处理?(排查思路及解决办法)
Welcome To OpenClouds World !!!
03-04 2386
在部署STP时,建议配置TC保护功能,所有连接终端的接口配置成边缘端口,这样可以避免某些端口的状态变化引起整个STP网络震荡而重新收敛。
开源TCP、IP库漏洞利用:畸形报文构造与异常流量检测.pdf
06-07
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
畸形报文攻击有哪些种类?遇到畸形报文攻击怎么防御?
我是飞飞啊,不一定温柔,但一定自由
07-09 716
畸形报文顾名思义就是有缺陷的IP报文,黑客通过向目标服务器发送大量含有缺陷的IP报文,使目标主机或服务器在处理这类报文时崩溃,这就是我们所说的畸形报文攻击。
畸形报文单包攻击检测防御原理
小王的储物间
07-22 723
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
畸形报文攻击种类及防御
热门推荐
nny715的专栏
03-14 2万+
网络攻击可分为拒绝服务型攻击、畸形报文攻击和扫描窥探攻击三大类。在上一篇文章中已经详细介绍了拒绝服务型攻击(DOS/DDOS)攻击的原理、方法及防御手段,本文将接着介绍畸形报文攻击。     畸形报文攻击是通过向目标系统发送有缺陷的IP 报文,使得目标系统在处理这样的 IP包时会出现崩溃,给目标系统带来损失。主要的畸形报文攻击有 Ping of Death、Teardrop等。      1)
Linux 原始套接字 如何发送大于MTU的长度的TCP报文TCP报文没有分片的概念的
10-10
在使用 Linux 原始套接字(raw socket)发送 TCP 报文时,如果你尝试发送一个超过链路 **MTU**(Maximum Transmission Unit,通常为 1500 字节)的数据包,操作系统或网络栈并不会自动帮你进行 IP 分片 —— 特别是...
网络数通领域所必须知道的常见的网络攻击报文类型、攻击原理,及相应解决方法和防御措施
05-16
本文将深入探讨畸形报文攻击、分片报文攻击以及相应的防御措施。 畸形报文攻击是一种通过发送构造异常的IP报文来破坏目标设备的策略。这类攻击包括: 1. **没有IP载荷的泛洪**:攻击者构造只有IP头部、没有数据...
wireshark中抓包数据展示畸形报文原因
最新发布
11-13
我们正在讨论Wireshark显示畸形报文的原因。根据用户问题,我们需要解释为什么Wireshark会...> 典型案例:某HTTP服务畸形报文TCP窗口缩放选项(WScale)值超过14比特范围触发,更新至Wireshark 4.0.5后解析正常[^1]。
如何识别并防御单包攻击,包括扫描窥探、畸形报文攻击、特殊报文攻击等多种类型?请提供实际案例分析。
11-05
畸形报文攻击,例如SUMRF攻击,通过构造特定格式的ICMP报文引起网络混乱。这类攻击可以通过配置防火墙规则,对ICMP报文进行严格的过滤和限制,仅允许合法的ICMP流量通过。 特殊报文攻击,如IP分片攻击,涉及到IP...
畸形报文攻击(1)
tigerOrtiger的博客
04-07 7212
畸形报文攻击(1) 0x01 写在前面 最近在工作之余,都在看CTF东西,然后和朋友们玩狼人杀玩到昏天黑地,差点忘记要把对畸形报文攻击的研究记录下来,这篇文章的内容是畸形报文攻击中的smurf攻击,land攻击,Fraggle攻击,WinNuke攻击。当然还有其他的teardrop攻击,IP的路由记录选项控制报文等,这里就不写太多,不然篇幅太长。 0X02 攻击原理介绍 sumrf攻击 smur...
linux畸形文件夹,Linux 畸形TCP报文攻击
weixin_31518073的博客
04-28 404
TC报文包含6个标志位:URG 、ACK 、PSH 、RST 、SYN 、FIN ,不同的系统对这些标志位组合的应答是不同的。a).6个标志全部为1 ,也就是圣诞树攻击;b).6个标志全部为0 ,如果端口是关闭的,会使接收方应答一个RST |ACK消息,而对于一个开放端口的Linux和UNIX机器则不会应答,而Windows机器将回答RST |ACK消息。这可用于操作系统探测。c).不管端口是打开...
常见畸形
qq_47529104的博客
04-20 3121
1、IP欺骗 2、IP分片错误报文fraggle 特意制造该分片但是不分片的报文,不该分片但是却设置了相关分片信息的报文3、Teardrop: Teardrop的攻击原理是:攻击者A给受害者B发送一些分片IP报文,并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠,也可错开),B在组合这种含有重叠偏移的伪造分片报文时,会导致系统崩溃4、smurf:制造ICMP的目的IP地址设置为目的主机所在网段的 广播,源地址为目的主机的地址,所以这就导致目的主机会收到网段主机的ICMP flood的攻
查询cpu_S5700交换机因收到大量STP TC报文导致CPU升高
weixin_28958727的博客
01-02 1623
问题描述如图1-1所示,某用户反馈其企业网络中,其中一台S5700交换机(图中标号为S11的设备)CPU异常,CPU占用率经常达到90%以上。 图1-1 S5700因收到大量STP TC报文导致CPU升高组网图 告警信息执行命令display cpu-usage,查询S5700的CPU信息,S5700最近曾出现CPU升高的记录,CPU占用率最高达到了97%。 <S5700> displ...
TCP 协议(一)报文结构
cliffordl的专栏
07-07 9684
TCP 提供面向连接的通信传输,面向连接是指在传送数据之前必须先建立连接,数据传送完成后要释放连接。无论哪一方向另一方发送数据之前,都必须先在双方之间建立一条连接。在TCP/IP协议中,TCP协议提供可靠的连接服务,连接是通过三次握手进行初始化的。同时由于TCP协议是一种面向连接的、可靠的、基于字节流的运输层通信协议,TCP是全双工模式,所以需要四次挥手关闭连接。
攻防技术-单包攻击防范:扫描、畸形、特殊(HCIP)
qq_45022073的博客
12-29 2920
1、了解单包攻击类型。 2、了解扫描窥探、畸形报文、特殊报文的各种攻击方式以及防御方法。 3、了解URPF技术作用。
STP TC报文导致的网络不稳定案例
normanhere的博客
04-30 1688
发现端口未配置为边缘端口,未配置为边缘端口将参与STP计算过程,端口的UP DOWN将触发TCN报文;在收到STP 根桥发送的TC报文后,会刷新自己在该VLAN的MAC地址表项,这个时候就会发生未知单播帧泛洪,从而使得测速发生延迟和抖动。通过dis stp tc 累计报文数,debug stp tc , 也能够追查到发出TCA报文的端口。接入交换机为华为24口三层交换机,使用率不高,排除业务繁忙问题。1、将接入端口改为边缘端口,阻止其参与STP运算。2、对发生端口UP DOWN的物理口,重做水晶头。
处理 报文_检查端口是否持续收到TC报文
weixin_34366539的博客
01-11 2129
操作步骤检查端口是否持续收到TC报文 使用命令display stp tc-bpdu statistics可查看端口收发TC报文的情况。(该命令从框式V100R006版本,盒式V100R005版本开始支持) display stp tc-bpdu statistics ------------------ STP TC/TCN information ------------------- MST...
没别的,就聊聊STP协议(二)
枫零NET的博客,分享一些自己喜欢的技术
01-05 2720
在第一篇STP文章中,咱们只是就STP的建立做了一些了解:怎么选举根桥,怎么选举根端口,怎么选举指定端口以及阻塞那些端口。站在我们的视角来看每个交换机以及它的端口处于各自的角色,但站在交换机的视角来看问题,是不是会不一样呢?咱们今天就来聊聊STP协议下的交换机的五种状态,以及当网络中拓扑发生变化时(设备变动或链路变动等等),交换机又如何应对这些计划之外的意外?这次站在交换机角度,来想想交换机每个接口在各个状态都要做些什么。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值