1. 異常包

　　TCP/UDP：端口值為0的包;校驗和錯誤的包

　　TCP標(biāo)志位異常包：SYN只能單獨存在或只能和ACK共存，和其他標(biāo)志共存就是異常包;沒有標(biāo)志或標(biāo)志全置的包;有ACK標(biāo)志但 Acknowledgment Number為0的包;有SYN標(biāo)志但Sequence Number為0的包;有URG標(biāo)志但Urgent Pointer為0，或沒有URG標(biāo)志但Urgent Pointer不為0的包;RST和除ACK標(biāo)志之外的其他標(biāo)志共存的包;

　　這種攻擊標(biāo)志很明顯，防御也很容易，可以做到100%檢測并阻斷;

　　2. LAND攻擊

　　TCP層的攻擊了，不過在網(wǎng)絡(luò)層就可以防護(hù);攻擊方發(fā)送源地址和目的地址相同的TCP SYN包，對老的某些操作系統(tǒng)就會發(fā)SYNACK包給自身，建立空連接，最終消耗盡自身資源，現(xiàn)在的操作系統(tǒng)已經(jīng)不會那么傻了，這種攻擊也可以做到100%檢測并阻斷;

　　3. Flood攻擊

　　syn flood：是TCP協(xié)議的最大弱點了，對syn flood攻擊的分析在另一篇文章中詳細(xì)說明了，理論上是無法真正防御的，只能進(jìn)行一定程度的緩解;

　　UDP flood：就是發(fā)送大量UDP包阻塞目的機(jī)通信，由于UDP是非連接協(xié)議，因此只能通過統(tǒng)計的方法來判斷，很難通過狀態(tài)檢測來發(fā)現(xiàn)，只能通過流量限制和統(tǒng)計的方法緩解;對于有些協(xié)議，服務(wù)器部分的計算量會遠(yuǎn)大于客戶端的計算量，如DNS，野蠻模式的IKE等，這些情況下flood攻擊更容易形成DOS。

　　4. 端口掃描

　　端口掃描往往是網(wǎng)絡(luò)入侵的前奏,通過端口掃描，可以了解目標(biāo) 機(jī)器上打開哪些服務(wù)，有的服務(wù)是本來就是公開的，但可能有些端口是管理不善誤打開的或?qū)ｉT打開作為特殊控制使用但不想公開的，通過端口掃描可以找到這些端 口，而且根據(jù)目標(biāo)機(jī)返回包的信息，甚至可以進(jìn)一步確定目標(biāo)機(jī)的操作系統(tǒng)類型，從而展開下一步的入侵。

　　4.1 TCP掃描

　　按照RFC，當(dāng)試圖連接一個沒有打開的TCP端口時，服務(wù)器會返回RST包;連接打開的TCP端口時，服務(wù)器會返回SYNACK包

　　合法連接掃描：

　　connect掃描：如果是打開的端口，攻擊機(jī)調(diào)用connect函數(shù)完成三次握手后再主動斷開;關(guān)閉的端口會連接識別

　　SYN掃描：攻擊機(jī)只發(fā)送SYN包，如果打開的端口服務(wù)器會返回SYNACK，攻擊機(jī)可能會再發(fā)送RST斷開;關(guān)閉的端口返回RST;

　　異常包掃描：

　　FIN掃描：攻擊機(jī)發(fā)送FIN標(biāo)志包，Windows系統(tǒng)不論端口是否打開都回復(fù)RST;但UNIX系統(tǒng)端口關(guān)閉時會回復(fù)RST，打開時會忽略該包;可以用來區(qū)別Windows和UNIX系統(tǒng);

　　ACK掃描：攻擊機(jī)發(fā)送ACK標(biāo)志包，目標(biāo)系統(tǒng)雖然都會返回RST包，但兩種RST包有差異;

　　對于合法連接掃描，如果SYN包確實正確的話，是可以通過防火墻的，防火墻只能根據(jù)一定的統(tǒng)計信息來判斷，在服務(wù)器上可以通過netstat查看連接狀態(tài)來判斷是否有來自同一地址的TIME_WAIT或SYN_RECV狀態(tài)來判斷。

　　對于異常包掃描，如果沒有安裝防火墻，確實會得到相當(dāng)好的掃描結(jié)果，在服務(wù)器上也看不到相應(yīng)的連接狀態(tài);但如果安裝了防火墻的話，由于這些包都不是合法連接的包，通過狀態(tài)檢測的方法很容易識別出來(注意：對于標(biāo)準(zhǔn)的Linux內(nèi)核所帶防火墻netfilter的TCP狀態(tài)檢測的實現(xiàn)，ACK和 FIN掃描是可以通過的，需要修改才能防御)。

　　4.2 UDP掃描

　　當(dāng)試圖連接一個沒有打開的UDP端口時，大部分類型的服務(wù)器可能會返回一個ICMP的端口不可達(dá)包，但也可能無任何回應(yīng)，由系統(tǒng)具體實現(xiàn)決定;對于打開的端口，服務(wù)器可能會有包返回，如DNS，但也可能沒有任何響應(yīng)。

　　UDP掃描是可以越過防火墻的狀態(tài)檢測的，由于UDP是非連接的，防火墻會把UDP掃描包作為連接的第一個包而允許通過，所以防火墻只能通過統(tǒng)計的方式來判斷是否有UDP掃描。

　　5. TCP緊急指針攻擊

　　Winnuke：對老的Windows系統(tǒng)，對TCP139端口發(fā)送帶URG標(biāo)志的包，會造成系統(tǒng)的崩潰，特征明顯，防火墻可以100%防御，但也可能誤傷;

　　6. TCP選項攻擊

　　相對IP選項，TCP選項利用率要高很多，很多正常包中都要用到，TCP選項攻擊包括：

　　1) 非法類型選項：正常的選項類型值為0、1、2、3、8、11、23、13，其他類型的出現(xiàn)是可疑的(類型4，5，6，7雖然定義了但被類型8取代，正常情況下也是不用的);

　　2) 時間戳：用于搜集目的機(jī)的信息;

　　3) 選項長度不匹配：選項中的長度和TCP頭中說明的TCP頭長度計算出的選項長度不一致;

　　4) 選項長度為0：非0、1類型的選項長度為0，是非法的;

　　5) 選項缺失，一般SYN包中都要有MSS選項，沒有的話反而不正常。