下表列出了一些重要的缩写及其在本文档中使用的完全扩展的单词/短语
设定 | 说明 |
---|---|
IP | 互联网协议地址 |
Src | 源 |
Dst | 目标 |
P2P | 点对点 |
ToS | 服务类型 |
DoS | 拒绝服务 |
TCP: U-A-P-R-S-F | TCP: Urg – Ack – Psh – Rst – Syn – Fin |
下表列出了用于分类问题的类别及简要说明
类别名称 | 说明 |
---|---|
不良Src – Dst | 流的Src IP或Dst IP是可疑的 |
可疑流 | 流的Src IP和Dst IP以外的一些属性是可疑的 |
DoS | 拒绝服务攻击 |
下表列出了检测到的问题、它们的分类及简要说明
问题名称 |
说明 |
---|---|
无效Src-Dst流 |
不计企业界限的无效的Src或Dst IP, 例如,Src或Dst IP中的Loopback IP或IANA本地IP |
非单播源流 |
Src IP是多播、广播或网络,即非单播 |
大量多播流 |
超过任何给定Src IP阈值的多播流量 |
大量广播流 |
超过任何给定Src IP阈值的广播流量 |
大量网络广播流 |
超过任何给定Src IP阈值的网络IP目的地流量 |
不良IP包 |
BytePerPacket小于或等于至少20个八位字节(字节)的流 |
无效ToS流 |
带有无效ToS值的流 |
不良TCP包 |
BytePerPacket小于或等于至少40个八位字节(字节)的TCP流 |
大量空TCP包 |
没有任何有效负载的TCP流,即BytePerPacket正好为40个八位字节(字节),TCP FLAGS值为IN(25–27,29–31),所有其他TCP FLAGS值都包含在下面给出的其他基于TCP的事件中 |
大量缺少TCP握手包 |
标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值为IN (19/ASF, 22/ARS, 23/ARSF),表示打开的和关闭的TCP会话,超过阈值 |
TCP Null违规 |
TCP Flags值等于0/Null的TCP流 |
TCP Syn违规 |
TCP Flags值等于2/Synl的TCP流 |
TCP Syn_Fin违规 |
TCP流,TCP Flags值为IN (3/SF, 7/RSF),表示TCP Syn_Fin –或– Syn_Rst_Fin流,但无Urg/Ack/Psh Flags。 |
大量缺少TCP Syn_Ack包 |
标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于18/SA,超过阈值 |
大量缺少TCP Syn_Rst包 |
标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于6/RS,表示TCP Syn_Rst流,但无Urg/Ack/Psh Flags,超过阈值 |
TCP Rst违规 |
TCPFlags值等于4/R的TCP流 |
大量缺少TCP Rst_Ack包 |
标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (20/AR, 21/ARF),表示TCP Rst_Ack流,超过阈值 |
TCP Fin违规 |
TCPFlags值为IN (1/F, 5/RF)的TCP流 |
大量缺少TCP Fin_Ack包 |
标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于17/FA,超过阈值 |
大量缺少TCP Psh_Ack_No-Syn_Fin包 |
标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (24/PA, 28/APR) ,表示TCP Psh_Ack,但无Syn/Fin,超过阈值 |
大量缺少TCP Psh_No-Ack包 |
标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF),表示TCP Psh,但无Ack,超过阈值 |
大量缺少TCP Ack包 |
标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于16/A,表示TCP Ack,超过阈值 |
TCP Xmas违规 |
TCPFlags值等于41/UPF的TCP流 |
TCP Urg违规 |
TCP Flags值为IN (32-40, 42-63)的TCP流,表示Urg Flag的所有组合(XMAS组合除外) |
不良ICMP包 |
BytePerPacket小于至少28个八位字节(字节)的ICMP流 |
大量ICMP请求 |
Dst端口值为IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)的ICMP请求流,超过阈值 |
大量ICMP应答 |
Dst端口值为IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) 的ICMP应答流,超过阈值 |
ICMP网络不可达 |
Dst端口值为IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS)的ICMP网络不可达流 |
ICMP主机不可达 |
Dst端口值为IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering) 的ICMP主机不可达流 |
ICMP端口不可达 |
Dst端口值等于771/Port Unreachable的ICMP端口不可达流 |
ToS的ICMP不可达 |
Dst端口值为IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS) 的ICMP ToS不可达流 |
ICMP重定向 |
Dst端口值为IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host)的ICMP重定向流 |
ICMP超时流 |
Dst端口为IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly)的ICMP超时流,表示路由跟踪尝试或数据报碎片重组失败 |
ICMP参数问题流 |
Dst端口为IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length)的ICMP参数问题流,通常表示一些本地或远程实施错误,即无效的数据报 |
ICMP路由跟踪流 |
Dst端口等于7680/Trace Route的ICMP路由跟踪流,表示路由跟踪尝试 |
ICMP数据报转换错误流 |
Dst端口值等于7936/Datagram Conversion Error的ICMP数据报转换错误流,即无效的数据报 |
不良UDP包 |
BytePerPacket小于至少28个八位字节(字节)的UDP流 |
大量空UDP包 |
无任何有效负载的UDP流,即BytePerPacket正好28个八位字节(字节) |
大量缺少UDP包 |
标称有效负载的UDP流,即BytePerPacket在29和32个八位字节(字节)之间,超过阈值 |
大量UDP Echo请求 |
到Dst端口7 (Echo)的UDP Echo请求超过阈值 |
大量UDP Echo应答 |
来自Src端口7 (Echo) 的UDP Echo应答超过阈值 |
Land Attack流 |
Src IP和Dst IP相同的流,导致目标计算机不断回复自身 |
ICMP请求广播 |
Dst端口值为IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)的ICMP请求流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击 |
ICMP协议不可达 |
Dst端口值等于(770/Protocol Unreachable)的ICMP协议不可达流,可用于对活动的TCP会话执行拒绝服务,从而导致TCP连接断开 |
ICMP源抑制流 |
Dst端口值等于(1024/Source Quench)的ICMP源抑制流,过时了,但可用于通过限制路由器或主机的带宽来尝试拒绝服务 |
Snork Attack流 |
Src端口为IN (7, 19, 135)、Dst端口为IN (135)的UDP流,表示对Windows NT RPC服务的拒绝服务攻击 |
UDP Echo请求广播 |
到Dst端口7 (Echo)的UDP Echo请求,发送至一个广播/多播IP,表示Src IP可能受到放大攻击 |
UDP Echo-Chargen广播 |
从Src端口7/Echo到Dst端口19/Chargen的UDP流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击 |
UDP Chargen-Echo广播 |
从Src端口19/Chargen到Dst端口7/Echo的UDP流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击 |
大量UDP Echo-Chargen流 |
从Src端口7/Echo到Dst端口19/Chargen的UDP流,发送至任意单播IP,超过阈值,表示Src IP可能受到放大攻击 |
大量UDP Chargen-Echo流 |
从Src端口19/Chargen到Dst端口7/Echo的UDP流,发送至任意单播IP,超过阈值,表示Src IP可能受到放大攻击 |