扫描攻击概述
IP地址扫描
一个源 IP 地址在规定的时间间隔 ( 缺省值为 5000 微秒 ) 内将 10 个 ICMP 封包 发送给不同的主机时,即进行了一次地址扫描。此方案的目的是将 ICMP 封包 ( 通常是应答请求 ) 发送给各个主机,以期获得至少一个回复,从而查明目标的地址。
设备记录从某一远程源地点发往不同地址的 ICMP 封包数目,如果某个远程主机在 0.005 秒 (5000 微秒) 内将 ICMP 信息流发送给 10 个地址,则将其标记为地址扫描攻击
端口扫描
当一个源 IP 地址在规定的时间间隔内 ( 缺省值为 5000 微秒 ) 将含有 TCP SYN 片段的 IP 封包或UDP报文发送给位于相同目标 IP 地址的 10 个不同端口时,即进行了一次端口扫描。端口扫描的目的是扫描可用的服务,希望至少会有一个端口响应,从而识别目标的服务。
设备记录从某一远程源地点扫描的不同端口的数目。使用缺省设置时,如果某个远程主机在 0.005 秒 (5000 微秒 ) 内扫描了 10 个端口,则将其标记为端口扫描攻击。