下表列出了该文档一些重要的缩写和对应的全称描述信息:
名称 |
描述 |
---|---|
IP |
互联网通信协议地址(Internet Protocol Address) |
Src |
来源(Source) |
Dst |
目的(Destination) |
P2P |
层级协议(Peer to Peer) |
ToS |
服务类型(Type of Service) |
DoS |
拒绝服务(Denial of Service) |
TCP: U-A-P-R-S-F |
TCP: Urg – Ack – Psh – Rst – Syn – Fin |
下表列出了问题分类及其表述信息:
分类名 |
描述 |
---|---|
坏的Src-Dst |
流的Src IP或Dst IP是可疑的。 |
除Src IP和Dst IP之外的流的其他属性是可疑的。 |
|
拒绝服务攻击(Denial of Service 攻击) |
|
扫描 / 探针 |
使用多个端口向指定主机或在单独的端口向多个主机发送流 |
下表列出不同阈值的定义:
聚合限制的设置 |
|
---|---|
下限 |
最小需求的流,使可以进行有效分析、验证问题。 |
上限 |
配置的在单独事件中积累的最大的流数量,它也是一种阈值,例如TCP Syn违反、TCP Fin违反等。 |
源花样的设置 |
|
---|---|
最小横向跨度 | 最小的源主机 - 主机扫描范围(反向) |
最小纵向跨度 | 最小的源端口 - 端口扫描范围(反向) |
最小对角扫描 | 最小的源终端点(源主机 = 源端口 = 源终端点) - 对角扫描(反向) |
最小纵横比 | 1. 按端口最小的源主机 - 主机扫描 (反向)
2. 按源主机最小的源端口 - 端口扫描(反向) |
最小占用率 | 在一个事件中最小的源终端点传播 - 主机扫描(反向)、端口扫描(反向)、网格扫描(反向)
占用 = 源终端点/(源主机 * 源端口) |
最小流动率 | 按源终端点 - 流出的最小打击数 |
最小发散度 | 按源主机 - 流出的最小目的主机 |
目的花样的设置 |
|
---|---|
最小横向跨度 | 最小的目的主机 - 主机扫描范围 |
最小纵向跨度 | 最小的目的端口 - 端口扫描范围 |
最小对角扫描 | 最小的目的终端点(目的主机 = 目的端口 = 目的终端点) - 对角扫描 |
最小纵横比 | 1. 按目的端口最小的源主机 - 主机扫描
2. 按目的主机最小的源端口 - 端口扫描 |
最小占用率 | 在一个事件中最小的目的终端点传播 - 主机扫描、端口扫描、网格扫描
占用 = 目的终端点/(目的主机 * 目的端口) |
最小流动率 | 按目的终端点 - 流入的最小打击数 |
最小发散度 | 按目的主机 - 流入的最小目的主机 |
以下为可被安全分析模块检测到的异常:
异常 |
描述 |
---|---|
攻击 |
从多个源主机到较少目的主机的流在目的终端超过最小发散度和最小流动率 |
流入 |
从单个或多个源主机到单个或多个目的主机的流在目的端超过最小流动率 |
流出
|
1. 从较少源主机到多个目的主机的流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的流在目的端超过最小流动率 |
端口扫描
|
1. 从单个或多个源主机到单个或多个目的主机的流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
主机扫描
|
1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
对角扫描 |
从单个或多个源主机到多个目的主机的流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) |
网格扫描 |
从单个或多个源主机在多个目的端口上到多个目的主机的流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
端口扫描(反向)
|
1. 使用多个源端口从单个源主机到单个或多个目的主机的流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的流在源端超过最小横向跨度、最小占用率和最小纵横比 |
主机扫描(反向) |
1. 使用单个源端口从多个源主机到单个或多个目的主机的流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的流在源端超过最小横向跨度、最小占用率和最小纵横比 |
对角扫描(反向)
|
从单个或多个源主机到多个目的主机的流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) |
网格扫描(反向 )
|
使用多个端口从多个源主机到单个或多个目的主机的流在源端超过最小纵向跨度或最小横向跨度和最小占用率 |
以下为可被检测到的问题,以及它们的描述和分类:
问题名称 |
描述 |
类别 |
|
---|---|---|---|
超额广播的流 | 广播的流超过了为源IP设置的阈值 | 坏的Src-Dst | |
超额多播的流 |
多播的流超过了为源IP设置的阈值。 |
坏的Src-Dst | |
超额网络组播的流 |
网路组播的流超过了为源IP设置的阈值。 |
坏的Src-Dst | |
源-目的的无效流 |
无效的源或目的IP,例如,在源或目的IP中有回路IP或IANA本地IP。 |
坏的Src-Dst | |
无效的ToS流 | 包含无效的ToS值的流 | 坏的Src-Dst | |
加载攻击流 | 有相同源IP和目的IP的流,造成目标主机不停的回应自身 | 坏的Src-Dst | |
有缺陷的IP数据包 | 包含少于或等于20字节的数据包的流 | 坏的Src-Dst | |
非单一传播的流 |
源IP是多路广播或广播、网络组播,也就是非单一传播。 |
坏的Src-Dst | |
TCP Syn违反 | TCP流包含的TCP标志值等于2/Syn,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Syn攻击 |
TCP Syn流从多个源主机到较少的目的主机在目的端超过最小流动率和最小发散度 |
DoS / Flash拥塞 | |
TCP Syn流入 | 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Syn流出 |
1. 从较少源主机到多个目的主机的TCP Syn流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Syn端口扫描 |
1. 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小纵向跨度 2. 从单个或多个源主机到较少目的主机的多个端口的TCP Syn流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn主机扫描 |
1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn流在目的端超过最小横向跨度 2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn对角扫描 |
从单个或多个源主机到多个目的主机的TCP Syn流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) |
扫描 / 探针 | |
TCP Syn网格扫描 |
从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
TCP Syn端口扫描(反向) |
1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn流在源端超过最小纵向跨度 2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn主机扫描(反向) |
1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度 2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 |
|
TCP Syn对角扫描(反向) |
从单个或多个源主机到多个目的主机的TCP Syn流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) |
扫描 / 探针 |
|
使用多个端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小纵向跨度或最小横向跨度和最小占用率 |
扫描 / 探针 |
||
超短的TCP Syn_Ack数据包 |
TCP流无负载数据超过阈值,每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短TCP Syn_Ack 流入 | 1. 从多个源主机到较少目的主机的超短TCP Syn_Ack流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短TCP Syn_Ack 流出 |
1. 从较少源主机到多个目的主机的超短TCP Syn_Ack流在源终端超过最小发散度和最小流动率 2. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短TCP Syn_Ack 端口扫描 |
1. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小纵向跨度 2. 从单个或多个源主机到较少目的主机的多个端口的TCP Syn_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短TCP Syn_Ack 主机扫描 |
1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度 2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针/p> |
|
超短TCP Syn_Ack 对角扫描 |
从单个或多个源主机到多个目的主机的TCP Syn_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) |
扫描 / 探针 | |
超短TCP Syn_Ack 网格扫描 |
从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
超短TCP Syn_Ack 端口扫描(反向) |
1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小纵向跨度 2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短TCP Syn_Ack 主机扫描(反向) |
1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度 2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针/p> |
|
超短TCP Syn_Ack 对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Syn_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短TCP Syn_Ack 网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超额空TCP数据包 |
TCP流不包含任何有效数据,也就是说每个包都是40个字节,TCP标志(25-27,29-31),达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
空TCP攻击 |
从多个源主机到较少目的主机的空TCP流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
空TCP流入 |
从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
空TCP流出 |
1. 从较少源主机到多个目的主机的空TCP流在源终端超过最小发散度和最小流动率 2. 从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
空TCP端口扫描 |
1. 从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小纵向跨度 2. 从单个或多个源主机到较少目的主机的多个端口的空TCP流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
空TCP主机扫描 |
1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的空TCP流在目的端超过最小横向跨度 2. 从单个或多个源主机在较少目的端口到多个目的主机的空TCP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
空TCP对角扫描 |
从单个或多个源主机到多个目的主机的空TCP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) |
扫描 / 探针 | |
空TCP网格扫描 |
从单个或多个源主机在多个目的端口上到多个目的主机的空TCP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
空TCP端口扫描(反向) |
1. 使用多个源端口从单个源主机到单个或多个目的主机的空TCP流在源端超过最小纵向跨度 2. 使用多个源端口从较少源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
空TCP主机扫描(反向) |
1. 使用单个源端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度 2. 使用较少源端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
空TCP对角扫描(反向) | 从单个或多个源主机到多个目的主机的空TCP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
空TCP网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Syn_Ack数据包 |
TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP Ack流入 |
1. 从多个源主机到较少目的主机的超短的TCP Ack流在目的端超过最小发散度和最小最小流动率 2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Ack流出 |
1. 从较少源主机到多个目的主机的超短的TCP Ack流在源终端超过最小发散度和最小流动率 2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Ack 端口扫描 |
1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小纵向跨度 2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Ack 主机扫描 |
1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度 2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Ack对角扫描 |
从单个或多个源主机到多个目的主机的超短的TCP Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) |
扫描 / 探针 | |
超短的TCP Ack 网格扫描 |
从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
超短的TCP Ack端口扫描(反向) |
1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小纵向跨度 2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Ack 主机扫描(反向) |
1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度 2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Ack对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | ||
超短的TCP Fin_Ack数据包 |
TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于17/FA,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP Fin_Ack流入 | 1.从多个源主机到较少目的主机的超短的TCP Fin_Ack流在目的端超过最小发散度和最小最小流动率
2.从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Fin_Ack流出 | 1. 从较少源主机到多个目的主机的超短的TCP Fin_Ack流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Fin_Ack端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Fin_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Fin_Ack主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Fin_Ack对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Fin_Ack网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Fin_Ack端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Fin_Ack主机扫描(反向) | 1.使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度
2.使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Fin_Ack对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Fin_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的TCP Fin_Ack网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP握手数据包 |
TCP流无负载数据超过阈值。每个包的字节在40到44个字节之间,TCP标志值 (19/ASF, 22/ARS, 23/ARSF),表示打开或关闭TCP会话,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP握手攻击 | 从多个源主机到较少目的主机的超短的TCP握手流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
超短的TCP握手流入 | 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小流动率 | DoS / Flash拥塞 | |
超短的TCP握手流出 | 1. 从较少源主机到多个目的主机的超短的TCP握手流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP握手端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP握手流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP握手主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP握手对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP握手流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
超短的TCP握手 网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP握手 端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP握手 主机扫描(反向) | 1.使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP握手 对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP握手流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的TCP握手 网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Psh_Ack_No-Syn_Fin数据包 |
TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值(24/PA, 28/APR),表示TCP Psh_Ack,但是不包含Syn/Fin,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP Psh_Ack攻击 | 从多个源主机到较少目的主机的超短的TCP Psh_Ack流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
超短的TCP Psh_Ack流入 | 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小流动率 | DoS / Flash拥塞 | |
超短的TCP Psh_Ack流出 | 1.从较少源主机到多个目的主机的超短的TCP Psh_Ack流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Psh_Ack端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Psh_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh_Ack主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh_Ack对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
超短的TCP Psh_Ack网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Psh_Ack端口扫描(反向) | 1.使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh_Ack主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh_Ack对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Psh_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的TCP Psh_Ack网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP流无数据负载超过阈值。每个包的字节在40到44个之间,TCP标志值(8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF),表示TCP Psh,但是不包含Ack,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | ||
超短的TCP Psh 攻击 | 从多个源主机到较少目的主机的超短的TCP Psh流在目的终端超过最小发散度和最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Psh 流入 | 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小流动率 | DoS / Flash拥塞 | |
超短的TCP Psh 流出 | 1. 从较少源主机到多个目的主机的超短的TCP Psh流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Psh 端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Psh流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh 主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Psh流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Psh流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh 对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Psh流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Psh 网格扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Psh流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Psh 端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh 主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Psh 对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Psh流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Psh 网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Rst_Ack数据包 | TCP流无数据负载超过阈值。每个包的字节在40到44个之间,TCP标志值 (20/AR, 21/ARF),表示TCP Rst_Ack流,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP Rst_Ack流入 | 1. 从多个源主机到较少目的主机的超短的TCP Rst_Ack流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Rst_Ack流出 | 1. 从较少源主机到多个目的主机的超短的TCP Rst_Ack流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Rst_Ack端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Rst_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Rst_Ack主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Rst_Ack对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
超短的TCP Rst_Ack网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
超短的TCP Rst_Ack端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Rst_Ack主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Rst_Ack对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Rst_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Rst_Ack网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Syn_Ack数据包 | TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 | DoS / Flash拥塞 | |
超短的TCP Syn_Ack流入 | 1. 从多个源主机到较少目的主机的超短的TCP Syn_Ack流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Syn_Ack流出 | 1. 从较少源主机到多个目的主机的超短的TCP Syn_Ack流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Syn_Ack端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Syn_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Ack主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Ack对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Syn_Ack网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用 | 扫描 / 探针 | |
超短的TCP Syn_Ack端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Ack主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Ack对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Syn_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的TCP Syn_Ack网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Syn_Rst数据包 | TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于6/RS,表示TCP Syn_Rst流,但是没有Urg/Ack/Psh标志,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
超短的TCP Syn_Rst攻击 | 从多个源主机到较少目的主机的超短的TCP Syn_Rst流在目的端超过最小发散度和最小最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Syn_Rst流入 | 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小流动率 | DoS / Flash拥塞 | |
超短的TCP Syn_Rst流出 | 1. 从较少源主机到多个目的主机的超短的TCP Syn_Rst流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的TCP Syn_Rst端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Syn_Rst流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Rst主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Rst对角扫描 | 从单个或多个源主机到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
超短的TCP Syn_Rst网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
超短的TCP Syn_Rst端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Rst主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的TCP Syn_Rst对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的TCP Syn_Rst流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的TCP Syn_Rst网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Fin 违反 |
TCP流包含的TCP标志值 (1/F, 5/RF),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
TCP Fin攻击 | 从多个源主机到较少目的主机的TCP Fin流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
TCP Fin流入 | 从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Fin流出 | 1. 从较少源主机到多个目的主机的TCP Fin流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Fin端口扫描/ | 1. 从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Fin流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Fin主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Fin流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Fin流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Fin对角扫描 | 从单个或多个源主机到多个目的主机的TCP Fin流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
TCP Fin网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Fin流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Fin端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Fin流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Fin主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Fin对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Fin流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
TCP Fin网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Null违反 | TCP流包含的TCP标志值等于0/Null,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Null攻击 | 从多个源主机到较少目的主机的TCP Null流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
TCP Null流入 | 从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Null流出 | 1. 从较少源主机到多个目的主机的TCP Null流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Null端口扫描/ | 1. 从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Null流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Null主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Null流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Null流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Null对角扫描 | 从单个或多个源主机到多个目的主机的TCP Null流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
TCP Null网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Null流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Null端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Null流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Null主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Null对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Null流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
TCP Null网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Rst违反 | TCP流包含的TCP标志值等于4/R,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Rst攻击 | 从多个源主机到较少目的主机的TCP Rst流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
TCP Rst流入 | 从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Rst流出 | 1. 从较少源主机到多个目的主机的TCP Rst流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Rst端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Rst流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Rst主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Rst流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Rst流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Rst对角扫描 | 从单个或多个源主机到多个目的主机的TCP Rst流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
TCP Rst网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Rst流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Rst端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Rst流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Rst主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Rst对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Rst流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
TCP Rst网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Syn_Fin违反 | TCP流包含的TCP标志值 (3/SF, 7/RSF),表示TCP Syn_Fin或Syn_Rst_Fin流,但是没有Urg/Ack/Psh标志,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Syn_Fin攻击 | 从多个源主机到较少目的主机的TCP Syn_Fin流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
TCP Syn_Fin流入 | 从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Syn_Fin流出 | 1. 从较少源主机到多个目的主机的TCP Syn_Fin流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Syn_Fin端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Syn_Fin流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn_Fin主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针/ | |
TCP Syn_Fin对角扫描 | 从单个或多个源主机到多个目的主机的TCP Syn_Fin流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
TCP Syn_Fin网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Syn_Fin端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn_Fin主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Syn_Fin对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Syn_Fin流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
TCP Syn_Fin网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Urg违反 | TCP流包含的TCP标志(32-40, 42-63),表示所有Urg标志组合除了XMAS组合,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Urg攻击 | 从多个源主机到较少目的主机的TCP Urg流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
TCP Urg流入 | 从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小流动率 | DoS / Flash拥塞 | |
TCP Urg流出 | 1. 从较少源主机到多个目的主机的TCP Urg流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Urg端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Urg流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Urg主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Urg流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Urg流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Urg对角扫描 | 从单个或多个源主机到多个目的主机的TCP Urg流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
TCP Urg网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Urg流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Urg端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Urg流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Urg主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Urg对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Urg流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
TCP Urg网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
TCP Xmas违反 | TCP流包含的TCP标志值等于41/UPF,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
TCP Xmas流入 | 1. 从多个源主机到较少目的主机的TCP Xmas流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Xmas流出 | 1. 从较少源主机到多个目的主机的TCP Xmas流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
TCP Xmas端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的TCP Xmas流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Xmas主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Xmas流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Xmas流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Xmas对角扫描 | 从单个或多个源主机到多个目的主机的TCP Xmas流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
TCP Xmas网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的TCP Xmas流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
TCP Xmas端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Xmas主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
TCP Xmas对角扫描(反向) | 从单个或多个源主机到多个目的主机的TCP Xmas流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
TCP Xmas网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
格式不正确的TCP数据包 |
TCP流包含的每个包的字节少于最小的40个字节,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
格式不正确的TCP攻击 | 从多个源主机到较少目的主机的格式不正确的TCP流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
格式不正确的TCP流入 | 从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小流动率 | DoS / Flash拥塞 | |
格式不正确的TCP流出 | 1. 从较少源主机到多个目的主机的格式不正确的TCP流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
格式不正确的TCP端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的格式不正确的TCP流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的TCP主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的TCP对角扫描 | 从单个或多个源主机到多个目的主机的格式不正确的TCP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
格式不正确的TCP网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
格式不正确的TCP端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的TCP主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的TCP对角扫描(反向) | 从单个或多个源主机到多个目的主机的格式不正确的TCP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
格式不正确的TCP网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
ICMP请求广播 |
ICMP请求流发送到广播/多播IP,目的端口 (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request),达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击 | DoS / Flash拥塞 | |
ICMP请求广播攻击 | 从多个源主机到较少目的主机的ICMP请求广播流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
ICMP请求广播流入 | 从单个或多个源主机到单个或多个目的主机的ICMP请求广播流在目的端超过最小流动率 | DoS / Flash拥塞 | |
ICMP请求广播流出 | 1. 从较少源主机到多个目的主机的ICMP请求广播流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP请求广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP请求广播主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP请求广播流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP请求广播流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICM请求广播 主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP请求广播流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的ICMP请求 |
ICMP请求流超过阈值,包含的目的端口(2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP请求流入 | 1.从多个源主机到较少目的主机的ICMP请求流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP请求流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP请求流出 | 1. 从较少源主机到多个目的主机的ICMP请求流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP请求流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP请求主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP请求流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP请求流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP请求主机扫描(反向) | 1.使用单个源端口从多个源主机到单个或多个目的主机的ICMP请求流在源端超过最小横向跨度
2.使用较少源端口从多个源主机到单个或多个目的主机的ICMP请求流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的ICMP应答 |
ICMP相应流超过阈值,包含目的端口 (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP应答流入 | 1. 从多个源主机到较少目的主机的ICMP应答流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP应答流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP应答流出 | 1. 从较少源主机到多个目的主机的ICMP应答流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP应答流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP应答主机扫描 | 1.从单个或多个源主机在一个单独的目的端口到多个目的主机的 ICMP应答流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP应答流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP应答主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP应答流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP应答流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP主机不可达 |
ICMP主机不可达流,包含目的端口 (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering),达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
|
1. 从多个源主机到较少目的主机的ICMP主机不可达流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP主机不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP主机不可达流出 | 1. 从较少源主机到多个目的主机的ICMP主机不可达流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP主机不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP主机不可达主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP主机不可达流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP主机不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP主机不可达主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP主机不可达流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP主机不可达流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP网络不可达 |
ICMP网络不可达流,包含目的端口 (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP网络不可达流入 | 1. 从多个源主机到较少目的主机的ICMP网络不可达流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP网络不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP网络不可达流出 | 1. 从较少源主机到多个目的主机的ICMP网络不可达流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP网络不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP网络不可达主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP网络不可达流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP网络不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP网络不可达主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP网络不可达流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP网络不可达流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP参数问题的流 |
ICMP参数问题的流,目的端口值 (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length),达到或超过上限并且未满足以下列出的问题。通常表明一些本地或远程实施失败,也就是无效报文。 |
可疑的流 | |
ICMP参数问题流入 | 1. 从多个源主机到较少目的主机的ICMP参数问题流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP参数问题流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP参数问题流出 | 1. 从较少源主机到多个目的主机的ICMP参数问题流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP参数问题流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP参数问题主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP参数问题流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP参数问题流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP参数问题主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP参数问题流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP参数问题流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP端口不可达 |
ICMP的ToS不可达流,目的端口值 (779/Network Unreachable for TOS, 780/Host Unreachable for TOS),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP端口不可达流入 | 1. 从多个源主机到较少目的主机的ICMP端口不可达流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
|
1. 从较少源主机到多个目的主机的ICMP端口不可达流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP端口不可达主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP端口不可达主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP端口不可达 |
ICMP端口不可达流,目的端口值等于771/Port,达到或超过上限并且未满足以下列出的问题。可以在活动的TCP会话用来执行拒绝服务,造成TCP连接失败。 | DoS / Flash拥塞 | |
ICMP端口不可达流入 | 1. 从多个源主机到较少目的主机的ICMP端口不可达流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP端口不可达流出 | 1. 从较少源主机到多个目的主机的ICMP端口不可达流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP端口不可达主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP端口不可达主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP重定向 |
ICMP重定向流,目的端口值 (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP重定向流入 | 1. 从多个源主机到较少目的主机的ICMP重定向流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP重定向流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP重定向流出 | 1. 从较少源主机到多个目的主机的ICMP重定向流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP重定向流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP重定向主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP重定向流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP重定向流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP重定向主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP重定向流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP重定向流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP源被破坏的流 |
ICMP源被破坏的流,目的端口值等于(1024/Source Quench),达到或超过上限并且未满足以下列出的问题。过期,但是可以通过限制路由器或主机的带宽,用于拒绝服务攻击。 |
DoS / Flash拥塞 | |
ICMP源被破坏流入 | 1. 从多个源主机到较少目的主机的ICMP源被破坏流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP源被破坏流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP源被破坏流出 | 1. 从较少源主机到多个目的主机的ICMP源被破坏流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP源被破坏流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP源被破坏主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP源被破坏流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP源被破坏流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP源被破坏主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP源被破坏流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP源被破坏流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP超时的流 |
ICMP超时的流,目的端口值 (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly),达到或超过上限并且未满足以下列出的问题。表明路由跟踪或数据报文碎片重组失败。 |
可疑的流 | |
ICMP超时流入 | 1. 从多个源主机到较少目的主机的ICMP超时流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP超时流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP超时流出 | 1. 从较少源主机到多个目的主机的ICMP超时流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP超时流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP超时主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP超时流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP超时流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP超时主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP超时流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP超时流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP路由跟踪的流 |
ICMP路由跟踪的流,目的端口等于7680/Trace Route,达到或超过上限并且未满足以下列出的问题。表明试图路由跟踪。 |
可疑的流 | |
ICMP路由跟踪流入 | 1. 从多个源主机到较少目的主机的ICMP路由跟踪流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP路由跟踪流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP路由跟踪流出 | 1. 从较少源主机到多个目的主机的ICMP路由跟踪流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP路由跟踪流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP路由跟踪主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP路由跟踪流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP路由跟踪流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP路由跟踪主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP路由跟踪流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP路由跟踪流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
& | |||
ICMP ToS不可达 |
ICMP ToS不可达流,目的端口值 (779/Network Unreachable for TOS, 780/Host Unreachable for TOS),达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
ICMP ToS不可达流入 | 1. 从多个源主机到较少目的主机的ICMP ToS不可达流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP ToS不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
|
1. 从较少源主机到多个目的主机的ICMP ToS不可达流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP ToS不可达流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
ICMP ToS不可达主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP ToS不可达流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的 ICMP ToS不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
IICMP ToS不可达主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP ToS不可达流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP ToS不可达流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的ICMP数据包 |
ICMP流中每个包包含的字节少于最少的28个字节,达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
格式不正确的ICMP流入 | 1. 从多个源主机到较少目的主机的格式不正确的 ICMP流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的格式不正确的 ICMP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
格式不正确的ICMP流出 | 1. 从较少源主机到多个目的主机的格式不正确的 ICMP流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的格式不正确的 ICMP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
格式不正确的ICMP主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的 ICMP流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的 ICMP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的ICMP主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的 ICMP流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的 ICMP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP数据包转换错误的流 |
ICMP数据包转换错误的流,目的端口等于7936/Datagram Conversion Error,对于有效的报文。达到或超过上限并且未满足以下列出的问题。 |
可疑的流 | |
1. 从多个源主机到较少目的主机的ICMP数据包转换错误流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP数据包转换错误流在目的端超过最小流动率 |
DoS / Flash拥塞 | ||
1. 从较少源主机到多个目的主机的ICMP数据包转换错误流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的ICMP数据包转换错误流在目的端超过最小流动率 |
DoS / Flash拥塞 | ||
ICMP数据包转换错误主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP数据包转换错误流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP数据包转换错误流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
ICMP数据包转换错误主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP数据包转换错误流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP数据包转换错误流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的UDP Echo应答 |
UDP Echo从源端口7 (Echo)应答,达到或超过上限并且未满足以下列出的问题 |
可疑的流 | |
UDP Echo应答流入 | 1.从多个源主机到较少目的主机的UDP Echo应答流在目的端超过最小发散度和最小最小流动率
2.从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo应答流出 | 1. 从较少源主机到多个目的主机的UDP Echo应答流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo应答端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的UDP Echo应答流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo应答主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo应答对角扫描 | 从单个或多个源主机到多个目的主机的UDP Echo应答流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
UDP Echo应答网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
UDP Echo应答主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo应答流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo应答流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的UDP Echo请求 |
UDP Echo从源端口7 (Echo)应答,达到或超过上限并且未满足以下列出的问题 | 可疑的流 | |
UDP Echo请求流入 | 1.从多个源主机到较少目的主机的UDP Echo请求流在目的端超过最小发散度和最小最小流动率
2.从单个或多个源主机到单个或多个目的主机的UDP Echo请求流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo请求流出 | 1. 从较少源主机到多个目的主机的UDP Echo请求流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo请求流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo请求主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo请求流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo请求流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo请求端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度、最小占用率和最小纵横 |
扫描 / 探针 | |
UDP Echo请求主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo请求对角扫描(反向) | 从单个或多个源主机到多个目的主机的UDP Echo请求流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
UDP Echo请求网格扫描(反向) | 使用多个端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
UDP Echo请求广播 |
UDP Echo请求到目的端口7 (Echo)发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上的扩大了攻击。 |
DoS / Flash拥塞 | |
UDP Echo请求广播攻击 | 从多个源主机到较少目的主机的UDP Echo请求广播流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
UDP Echo请求广播流入 | 从单个或多个源主机到单个或多个目的主机的UDP Echo请求广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo请求广播流出 | 1. 从较少源主机到多个目的主机的UDP Echo请求广播流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo请求广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo请求广播主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo请求广播流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo请求广播流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo请求广播端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo请求广播主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo请求广播对角扫描(反向) | 从单个或多个源主机到多个目的主机的UDP Echo请求广播流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
UDP Echo请求广播网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
UDP Chargen-Echo广播 |
UDP流,从源端口19/Chargen到目的端口7/Echo,发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。 |
DoS / Flash拥塞 | |
UDP Chargen-Echo广播攻击 | 从多个源主机到较少目的主机的UDP Chargen-Echo广播流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
UDP Chargen-Echo广播流入 | 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
|
1. 从较少源主机到多个目的主机的UDP Chargen-Echo广播流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Chargen-Echo广播主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Chargen-Echo广播流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Chargen-Echo广播流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Chargen-Echo广播主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo-Chargen广播 |
UDP流,从源端口7/Echo到目的端口19/Chargen,发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。 |
DoS / Flash拥塞 | |
UDP Echo-Chargen广播攻击 | 从多个源主机到较少目的主机的UDP Echo-Chargen广播流在目的终端超过最小发散度和最小流动率 |
DoS / Flash拥塞 | |
UDP Echo-Chargen广播流入 | 从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo-Chargen广播流出 | 1. 从较少源主机到多个目的主机的UDP Echo-Chargen广播流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo-Chargen广播主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo-Chargen广播流在目的端超过最小横向跨度 2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo-Chargen广播流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UUDP Echo-Chargen广播主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
空的UDP数据包 |
UDP流布包含任何数据,每个包的字节等于28个字节。达到或超过上限并且未满足以下列出的问题。 |
可疑的流 | |
Empty UDP攻击 |
从多个源主机到较少目的主机的Empty UDP流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
Empty UDP流入 | 从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
Empty UDP流出 | 1. 从较少源主机到多个目的主机的Empty UDP流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
Empty UDP端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的Empty UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
Empty UDP主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的Empty UDP流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的Empty UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
Empty UDP对角扫描 | 从单个或多个源主机到多个目的主机的Empty UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
Empty UDP网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的Empty UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
Empty UDP端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的Empty UDP流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的Empty UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
Empty UDP主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的流Empty UDP在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的Empty UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
Empty UDP对角扫描(反向) | 从单个或多个源主机到多个目的主机的Empty UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) | 扫描 / 探针 | |
Empty UDP网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的Empty UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
超短的UDP数据包 |
UDP流无数据负载超过阈值。每个包的字节在29到32个之间。达到或超过上限并且未满足以下列出的问题。 |
可疑的流 | |
超短的UDP攻击 | 从多个源主机到较少目的主机的超短的UDP流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
超短的UDP流入 | 从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的UDP流出 | 1. 从较少源主机到多个目的主机的超短的UDP流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
超短的UDP端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的超短的UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的UDP主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的UDP流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的UDP对角扫描 | 从单个或多个源主机到多个目的主机的超短的UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
超短的UDP网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的超短的UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 |
扫描 / 探针 | |
超短的UDP端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的UDP流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的UDP主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超短的UDP对角扫描(反向) | 从单个或多个源主机到多个目的主机的超短的UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
超短的UDP网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
格式不正确的UDP数据包 |
UDP流中每个包的字节少于最少的28个字节。达到或超过上限并且未满足以下列出的问题。 |
可疑的流 | |
格式不正确的UDP攻击 | 从多个源主机到较少目的主机的格式不正确的UDP流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
格式不正确的UDP流入 | 从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
格式不正确的UDP流出 | 1. 从较少源主机到多个目的主机的格式不正确的UDP流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
格式不正确的UDP端口扫描 | 1. 从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小纵向跨度
2. 从单个或多个源主机到较少目的主机的多个端口的格式不正确的UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的UDP主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的UDP对角扫描 | 从单个或多个源主机到多个目的主机的格式不正确的UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量
(主机=端口=终端点) |
扫描 / 探针 | |
格式不正确的UDP网格扫描 | 从单个或多个源主机在多个目的端口上到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 | 扫描 / 探针 | |
格式不正确的UDP端口扫描(反向) | 1. 使用多个源端口从单个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小纵向跨度
2. 使用多个源端口从较少源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的UDP主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
格式不正确的UDP对角扫描(反向) | 从单个或多个源主机到多个目的主机的格式不正确的UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 | 扫描 / 探针 | |
格式不正确的UDP网格扫描(反向) | 使用多个源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 | 扫描 / 探针 | |
& | |||
Snork攻击流 |
UDP流,源端口 (7, 19, 135)、目的端口 (135),达到或超过上限并且未满足以下列出的问题。表明拒绝服务攻击Windows NT RPC服务。 | DoS / Flash拥塞 | |
UDP Snork攻击 | 从多个源主机到较少目的主机的UDP Snork流在目的终端超过最小发散度和最小流动率 | DoS / Flash拥塞 | |
UDP Snork流入 | 从单个或多个源主机到单个或多个目的主机的UDP Snork流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Snork流出 | 1. 从较少源主机到多个目的主机的UDP Snork流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Snork流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Snork主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Snork流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Snork流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Snork主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的 UDP Snork流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Snork流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的UDP Chargen-Echo流 |
UDP流,从源端口19/Chargen到目的端口7/Echo,发送到任何单一传播IP达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。 |
DoS / Flash拥塞 | |
UDP Chargen-Echo流入 | 1. 从多个源主机到较少目的主机的UDP Chargen-Echo流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Chargen-Echo流出 | 1. 从较少源主机到多个目的主机的UDP Chargen-Echo流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Chargen-Echo主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Chargen-Echo流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Chargen-Echo流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Chargen-Echo主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
超额的UDP Echo-Chargen流 |
UDP流,从源端口7/Echo到目的端口19/Chargen,发送到任何单一传播IP达到或超过上限并且未满足以下列出的问题 。表明可能在源IP上扩大了攻击。 |
DoS / Flash拥塞 | |
UDP Echo-Chargen流入 | 1. 从多个源主机到较少目的主机的UDP Echo-Chargen流在目的端超过最小发散度和最小最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo-Chargen流出 | 1. 从较少源主机到多个目的主机的UDP Echo-Chargen流在源终端超过最小发散度和最小流动率
2. 从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen流在目的端超过最小流动率 |
DoS / Flash拥塞 | |
UDP Echo-Chargen主机扫描 | 1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo-Chargen流在目的端超过最小横向跨度
2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo-Chargen流在目的端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 | |
UDP Echo-Chargen主机扫描(反向) | 1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen流在源端超过最小横向跨度
2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen流在源端超过最小横向跨度、最小占用率和最小纵横比 |
扫描 / 探针 |