黑客攻击揭密 分析选定的网络攻击(图)

核心提示： RST:表明要立即复位连接，SYN:在需要同步序列号的情况下设置，黑客攻击揭密 分析选定的网络攻击(图)(7)，FIN:表明不会再有来自发送方的数据了(也就是说，连接将要关闭)，在本节中，我将讨论攻击者所使用的一种端口扫描形式，以上是 TCP 头中的重要字段，下面关于 TCP 连接的建立和

RST:表明要立即复位连接。

SYN:在需要同步序列号的情况下设置。

FIN:表明不会再有来自发送方的数据了(也就是说，连接将要关闭)。

以上是 TCP 头中的重要字段，下面关于 TCP 连接的建立和关闭的几节将使您更好地理解这些字段的用途。

建立和关闭 TCP 连接

连接建立:TCP 连接的建立由要建立连接的客户机和该客户机联系的服务器通过三步握手过程执行。要开始连接，您需要有一个在特定端口提供服务的服务器;例如，在端口 23 侦听的 Telnet 服务。当客户机想要打开与服务器的连接时，它向服务器发送一个连接请求。这意味着向服务器发送一个设置了 SYN 标志的 TCP 包。服务器以设置了 SYN 和 ACK 标志的包应答。最后，客户机通过向服务器发送设置了 ACK 标志的 TCP 包进行确认。这样，客户机和服务器之间的连接就建立起来了。

连接关闭:在发送完所有数据之后，通信伙伴中的一方想要关闭连接。假设是客户机要终止连接。它将通过向服务器发送设置了 FIN 标志的 TCP 包来完成该操作。服务器将通过返回设置了 ACK 标志的包进行确认。从此刻起，客户机将不再向服务器发送任何数据。它将仅以空段确认由服务器发送的数据。当服务器关闭客户机流时，连接关闭。

讲完了预备知识，我将向您介绍两个 TCP 攻击的示例。

TCP SYN 扫描

类别:端口扫描

描述:TCP SYN 扫描是端口扫描的变体。端口扫描用来检查给定主机上的端口是否打开。收集此类信息是跟踪足迹(先前的攻击种类中讨论过)的一部分，用来获得主机上的额外信息。知道主机上哪些端口是打开的，对于攻击者推断目标主机上可能存在的弱点是重要的第一步。

TCP 端口扫描的最简单形式是打开一个到主机所有端口的连接。如果成功地打开了到给定端口的连接，则攻击者知道该服务是可用的。但是，因为操作系统和/或工具可能会记录此类行为并因此察觉端口扫描，所以，攻击者通常想在被扫描主机不知道的情况下执行端口扫描。在本节中，我将讨论攻击者所使用的一种端口扫描形式，它不会被目标主机轻易地侦测到。