安全问题及类别目录

problem class catalogue

下表列出了一些重要的缩写及其在本文档中使用的完全扩展的单词/短语

设定 说明
IP 互联网协议地址
Src
Dst 目标
P2P 点对点
ToS 服务类型
DoS 拒绝服务
TCP: U-A-P-R-S-F TCP: Urg – Ack – Psh – Rst – Syn – Fin

下表列出了用于分类问题的类别及简要说明

类别名称 说明
不良Src – Dst 流的Src IP或Dst IP是可疑的
可疑流 流的Src IP和Dst IP以外的一些属性是可疑的
DoS 拒绝服务攻击

下表列出了检测到的问题、它们的分类及简要说明

问题名称

说明

不良Src – Dst

无效Src-Dst流

不计企业界限的无效的Src或Dst IP, 例如,Src或Dst IP中的Loopback IP或IANA本地IP

非单播源流

Src IP是多播、广播或网络,即非单播

大量多播流

超过任何给定Src IP阈值的多播流量

大量广播流

超过任何给定Src IP阈值的广播流量

大量网络广播流

超过任何给定Src IP阈值的网络IP目的地流量

可疑流

不良IP包

BytePerPacket小于或等于至少20个八位字节(字节)的流

无效ToS流

带有无效ToS值的流

不良TCP包

BytePerPacket小于或等于至少40个八位字节(字节)的TCP流

大量空TCP包

没有任何有效负载的TCP流,即BytePerPacket正好为40个八位字节(字节),TCP FLAGS值为IN(25–27,29–31),所有其他TCP FLAGS值都包含在下面给出的其他基于TCP的事件中

大量缺少TCP握手包

标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值为IN (19/ASF, 22/ARS, 23/ARSF),表示打开的和关闭的TCP会话,超过阈值

TCP Null违规

TCP Flags值等于0/Null的TCP流

TCP Syn违规

TCP Flags值等于2/Synl的TCP流

TCP Syn_Fin违规

TCP流,TCP Flags值为IN (3/SF, 7/RSF),表示TCP Syn_Fin –或– Syn_Rst_Fin流,但无Urg/Ack/Psh Flags。

大量缺少TCP Syn_Ack包

标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于18/SA,超过阈值

大量缺少TCP Syn_Rst包

标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于6/RS,表示TCP Syn_Rst流,但无Urg/Ack/Psh Flags,超过阈值

TCP Rst违规

TCPFlags值等于4/R的TCP流

大量缺少TCP Rst_Ack包

标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (20/AR, 21/ARF),表示TCP Rst_Ack流,超过阈值

TCP Fin违规

TCPFlags值为IN (1/F, 5/RF)的TCP流

大量缺少TCP Fin_Ack包

标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于17/FA,超过阈值

大量缺少TCP Psh_Ack_No-Syn_Fin包

标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (24/PA, 28/APR) ,表示TCP Psh_Ack,但无Syn/Fin,超过阈值

大量缺少TCP Psh_No-Ack包

标称有效负载的TCP流,即BytePerPacket在40和44个八位字节(字节)之间且TCP Flags值为IN (8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF),表示TCP Psh,但无Ack,超过阈值

大量缺少TCP Ack包

标称有效负载的TCP流,即BytePerPacket在40和44 个八位字节(字节)之间且TCP Flags值等于16/A,表示TCP Ack,超过阈值

TCP Xmas违规

TCPFlags值等于41/UPF的TCP流

TCP Urg违规

TCP Flags值为IN (32-40, 42-63)的TCP流,表示Urg Flag的所有组合(XMAS组合除外)

不良ICMP包

BytePerPacket小于至少28个八位字节(字节)的ICMP流

大量ICMP请求

Dst端口值为IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)的ICMP请求流,超过阈值

大量ICMP应答

Dst端口值为IN (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply) 的ICMP应答流,超过阈值

ICMP网络不可达

Dst端口值为IN (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS)的ICMP网络不可达流

ICMP主机不可达

Dst端口值为IN (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering) 的ICMP主机不可达流

ICMP端口不可达

Dst端口值等于771/Port Unreachable的ICMP端口不可达流

ToS的ICMP不可达

Dst端口值为IN (779/Network Unreachable for TOS, 780/Host Unreachable for TOS) 的ICMP ToS不可达流

ICMP重定向

Dst端口值为IN (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host)的ICMP重定向流

ICMP超时流

Dst端口为IN (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly)的ICMP超时流,表示路由跟踪尝试或数据报碎片重组失败

ICMP参数问题流

Dst端口为IN (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length)的ICMP参数问题流,通常表示一些本地或远程实施错误,即无效的数据报

ICMP路由跟踪流

Dst端口等于7680/Trace Route的ICMP路由跟踪流,表示路由跟踪尝试

ICMP数据报转换错误流

Dst端口值等于7936/Datagram Conversion Error的ICMP数据报转换错误流,即无效的数据报

不良UDP包

BytePerPacket小于至少28个八位字节(字节)的UDP流

大量空UDP包

无任何有效负载的UDP流,即BytePerPacket正好28个八位字节(字节)

大量缺少UDP包

标称有效负载的UDP流,即BytePerPacket在29和32个八位字节(字节)之间,超过阈值

大量UDP Echo请求

到Dst端口7 (Echo)的UDP Echo请求超过阈值

大量UDP Echo应答

来自Src端口7 (Echo) 的UDP Echo应答超过阈值

DoS

Land Attack流

Src IP和Dst IP相同的流,导致目标计算机不断回复自身

ICMP请求广播

Dst端口值为IN (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request)的ICMP请求流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击

ICMP协议不可达

Dst端口值等于(770/Protocol Unreachable)的ICMP协议不可达流,可用于对活动的TCP会话执行拒绝服务,从而导致TCP连接断开

ICMP源抑制流

Dst端口值等于(1024/Source Quench)的ICMP源抑制流,过时了,但可用于通过限制路由器或主机的带宽来尝试拒绝服务

Snork Attack流

Src端口为IN (7, 19, 135)、Dst端口为IN (135)的UDP流,表示对Windows NT RPC服务的拒绝服务攻击

UDP Echo请求广播

到Dst端口7 (Echo)的UDP Echo请求,发送至一个广播/多播IP,表示Src IP可能受到放大攻击

UDP Echo-Chargen广播

从Src端口7/Echo到Dst端口19/Chargen的UDP流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击

UDP Chargen-Echo广播

从Src端口19/Chargen到Dst端口7/Echo的UDP流,发送至一个广播/多播IP,表示Src IP可能受到放大攻击

大量UDP Echo-Chargen流

从Src端口7/Echo到Dst端口19/Chargen的UDP流,发送至任意单播IP,超过阈值,表示Src IP可能受到放大攻击

大量UDP Chargen-Echo流

从Src端口19/Chargen到Dst端口7/Echo的UDP流,发送至任意单播IP,超过阈值,表示Src IP可能受到放大攻击

典型客户

合作伙伴