[2012-08-06]扫描攻击主要有那些类型

Q：什么是扫描攻击？扫描攻击主要有哪些类型？

A：扫描攻击是指，攻击者运用扫描工具对网络设备或主机进行地址或端口的扫描，以达到通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备。

扫描有2种，一种是地址扫描，就是源地址不变，目的地址改变，当连续三秒内，每秒目的IP的变化次数超过设置的阈值，就认为有扫描攻击。

另一种是端口扫描，就是报文的源IP、目的IP不变，变化的是目的端口，当连续三秒内，每秒目的端口的变化次数超过设置的阈值，就认为有扫描攻击。

以TCP SYN扫描为例：这类技术通常涉及一种“半开”式的扫描——因为你不打开完整的TCP连接，你发送一个SYN信息包就像你要打开一个真正的连接而且你在等待对方的回应。一个SYN|ACK(应答)会表明该端口是开放监听的。一个RST（复位）则代表该端口未被监听。如果SYN|ACK的回应返回，则会马上发送一个RST包来中断这个连接。这种扫描的最大好处是只有极少的站点会对它作出记录。