入侵检测筛选器

IP 半扫描攻击:

该警报通知您有人反复尝试发送带有无效标志的传输控制协议 (TCP) 数据包。

在正常的 TCP 连接中，源系统通过向目标系统上的端口发送 SYN 数据包来初始化连接。如果有服务正在该端口上侦听，该服务将发出 SYN/ACK 数据包作为响应。然后初始化连接的客户端发出 ACK 数据包作为响应，从而建立连接。如果目标主机等待的不是指定端口上的连接，将发出 RST 数据包作为响应。在收到来自源系统的最后一个 ACK 数据包之前，大多数系统日志都不会记录完成的连接。不按照此顺序发送其他类型的数据包会导致目标主机发出有用的响应，但不会导致连接被记入日志中。这称为 TCP 半扫描或秘密扫描，因为它不在所扫描的主机上生成日志条目