问题分类目录

安全分析模块

 

下表列出了该文档一些重要的缩写和对应的全称描述信息:

 

 

名称

描述

IP

互联网通信协议地址(Internet Protocol Address)

Src

来源(Source)

Dst

目的(Destination)

P2P

层级协议(Peer to Peer)

ToS

服务类型(Type of Service)

DoS

拒绝服务(Denial of Service)

TCP: U-A-P-R-S-F

TCP: Urg – Ack – Psh – Rst – Syn – Fin



下表列出了问题分类及其表述信息:

 

分类名

描述

坏的Src-Dst

流的Src IP或Dst IP是可疑的。

可疑流

除Src IP和Dst IP之外的流的其他属性是可疑的。

DoS

拒绝服务攻击(Denial of Service 攻击)

扫描 / 探针

使用多个端口向指定主机或在单独的端口向多个主机发送流


下表列出不同阈值的定义:

 

聚合限制的设置

下限

最小需求的流,使可以进行有效分析、验证问题。

上限

配置的在单独事件中积累的最大的流数量,它也是一种阈值,例如TCP Syn违反、TCP Fin违反等。

 

源花样的设置

最小横向跨度 最小的源主机 - 主机扫描范围(反向)
最小纵向跨度 最小的源端口 - 端口扫描范围(反向)
最小对角扫描 最小的源终端点(源主机 = 源端口 = 源终端点) - 对角扫描(反向)
最小纵横比

1. 按端口最小的源主机 - 主机扫描 (反向)

 

2. 按源主机最小的源端口 - 端口扫描(反向)

最小占用率 在一个事件中最小的源终端点传播 - 主机扫描(反向)、端口扫描(反向)、网格扫描(反向)

 

占用 = 源终端点/(源主机 * 源端口)
最小流动率 按源终端点 - 流出的最小打击数
最小发散度 按源主机 - 流出的最小目的主机

 

目的花样的设置

最小横向跨度 最小的目的主机 - 主机扫描范围
最小纵向跨度 最小的目的端口 - 端口扫描范围
最小对角扫描 最小的目的终端点(目的主机 = 目的端口 = 目的终端点) - 对角扫描
最小纵横比

1. 按目的端口最小的源主机 - 主机扫描

 

2. 按目的主机最小的源端口 - 端口扫描

最小占用率 在一个事件中最小的目的终端点传播 - 主机扫描、端口扫描、网格扫描

 

占用 = 目的终端点/(目的主机 * 目的端口)
最小流动率 按目的终端点 - 流入的最小打击数
最小发散度 按目的主机 - 流入的最小目的主机

 

 

以下为可被安全分析模块检测到的异常:

 

异常

描述

攻击

从多个源主机到较少目的主机的流在目的终端超过最小发散度和最小流动率

流入

从单个或多个源主机到单个或多个目的主机的流在目的端超过最小流动率

流出

 

 

1. 从较少源主机到多个目的主机的流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的流在目的端超过最小流动率

端口扫描

 

 

1. 从单个或多个源主机到单个或多个目的主机的流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的流在目的端超过最小纵向跨度、最小占用率和最小纵横比

主机扫描

 

 

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的流在目的端超过最小横向跨度、最小占用率和最小纵横比

对角扫描

从单个或多个源主机到多个目的主机的流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)

网格扫描

从单个或多个源主机在多个目的端口上到多个目的主机的流在目的端超过最小横向跨度或最小纵向跨度和最小占用率

端口扫描(反向)

 

1. 使用多个源端口从单个源主机到单个或多个目的主机的流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的流在源端超过最小横向跨度、最小占用率和最小纵横比

主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的流在源端超过最小横向跨度、最小占用率和最小纵横比

对角扫描(反向)

 

从单个或多个源主机到多个目的主机的流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点)

网格扫描(反向 )

 

使用多个端口从多个源主机到单个或多个目的主机的流在源端超过最小纵向跨度或最小横向跨度和最小占用率

 

 

以下为可被检测到的问题,以及它们的描述和分类:

 

问题名称

描述

类别

超额广播的流 广播的流超过了为源IP设置的阈值 坏的Src-Dst
超额多播的流

多播的流超过了为源IP设置的阈值。

坏的Src-Dst
超额网络组播的流

网路组播的流超过了为源IP设置的阈值。

坏的Src-Dst

源-目的的无效流

无效的源或目的IP,例如,在源或目的IP中有回路IP或IANA本地IP。

坏的Src-Dst
无效的ToS 包含无效的ToS值的流 坏的Src-Dst
加载攻击流 有相同源IP和目的IP的流,造成目标主机不停的回应自身 坏的Src-Dst
有缺陷的IP数据包 包含少于或等于20字节的数据包的流 坏的Src-Dst
非单一传播的流

源IP是多路广播或广播、网络组播,也就是非单一传播。

坏的Src-Dst
 
TCP Syn违反 TCP流包含的TCP标志值等于2/Syn,达到或超过上限并且未满足以下列出的问题 可疑的流

TCP Syn攻击

TCP Syn流从多个源主机到较少的目的主机在目的端超过最小流动率和最小发散度

DoS / Flash拥塞
TCP Syn流入 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小流动率 DoS / Flash拥塞
TCP Syn流出

1. 从较少源主机到多个目的主机的TCP Syn流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小流动率

DoS / Flash拥塞
TCP Syn端口扫描

1. 从单个或多个源主机到单个或多个目的主机的TCP Syn流在目的端超过最小纵向跨度

2. 从单个或多个源主机到较少目的主机的多个端口的TCP Syn流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn流在目的端超过最小横向跨度

2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn对角扫描

从单个或多个源主机到多个目的主机的TCP Syn流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)

扫描 / 探针
TCP Syn网格扫描

从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn流在目的端超过最小横向跨度或最小纵向跨度和最小占用率

扫描 / 探针
TCP Syn端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn流在源端超过最小纵向跨度

2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度

2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针

TCP Syn对角扫描(反向)

从单个或多个源主机到多个目的主机的TCP Syn流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点)

扫描 / 探针

TCP Syn网格扫描(反向)

使用多个端口从多个源主机到单个或多个目的主机的TCP Syn流在源端超过最小纵向跨度或最小横向跨度和最小占用率

扫描 / 探针

     

超短的TCP Syn_Ack数据包

TCP流无负载数据超过阈值,每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 可疑的流
超短TCP Syn_Ack 流入

1. 从多个源主机到较少目的主机的超短TCP Syn_Ack流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短TCP Syn_Ack 流出

1. 从较少源主机到多个目的主机的超短TCP Syn_Ack流在源终端超过最小发散度和最小流动率

2. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短TCP Syn_Ack 端口扫描

1. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Ack流在目的端超过最小纵向跨度

2. 从单个或多个源主机到较少目的主机的多个端口的TCP Syn_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短TCP Syn_Ack 主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度

2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针/p>

超短TCP Syn_Ack 对角扫描

从单个或多个源主机到多个目的主机的TCP Syn_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)

扫描 / 探针
超短TCP Syn_Ack 网格扫描

从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率

扫描 / 探针
超短TCP Syn_Ack 端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小纵向跨度

2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短TCP Syn_Ack 主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度

2. 使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针/p>

超短TCP Syn_Ack 对角扫描(反向) 从单个或多个源主机到多个目的主机的TCP Syn_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短TCP Syn_Ack 网格扫描(反向) 使用多个端口从多个源主机到单个或多个目的主机的TCP Syn_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超额空TCP数据包

TCP流不包含任何有效数据,也就是说每个包都是40个字节,TCP标志(25-27,29-31),达到或超过上限并且未满足以下列出的问题 可疑的流
TCP攻击

从多个源主机到较少目的主机的空TCP流在目的终端超过最小发散度和最小流动率

DoS / Flash拥塞
TCP流入

从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小流动率

DoS / Flash拥塞
TCP流出

1. 从较少源主机到多个目的主机的空TCP流在源终端超过最小发散度和最小流动率

2. 从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小流动率

DoS / Flash拥塞
TCP端口扫描

1. 从单个或多个源主机到单个或多个目的主机的空TCP流在目的端超过最小纵向跨度

2. 从单个或多个源主机到较少目的主机的多个端口的空TCP流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的空TCP流在目的端超过最小横向跨度

2. 从单个或多个源主机在较少目的端口到多个目的主机的空TCP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP对角扫描

从单个或多个源主机到多个目的主机的空TCP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)

扫描 / 探针
TCP网格扫描

从单个或多个源主机在多个目的端口上到多个目的主机的空TCP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率

扫描 / 探针
TCP端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的空TCP流在源端超过最小纵向跨度

2. 使用多个源端口从较少源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度

2. 使用较少源端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP对角扫描(反向) 从单个或多个源主机到多个目的主机的空TCP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
TCP网格扫描(反向) 使用多个端口从多个源主机到单个或多个目的主机的空TCP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超短的TCP Syn_Ack数据包

TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Ack流入

1. 从多个源主机到较少目的主机的超短的TCP Ack流在目的端超过最小发散度和最小最小流动率

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Ack流出

1. 从较少源主机到多个目的主机的超短的TCP Ack流在源终端超过最小发散度和最小流动率

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Ack 端口扫描

1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Ack流在目的端超过最小纵向跨度

2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Ack 主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度

2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Ack对角扫描

从单个或多个源主机到多个目的主机的超短的TCP Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)

扫描 / 探针
超短的TCP Ack 网格扫描

从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率

扫描 / 探针
超短的TCP Ack端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小纵向跨度

2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Ack 主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度

2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Ack对角扫描(反向) 从单个或多个源主机到多个目的主机的超短的TCP Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针

超短的TCP Ack 网格扫描(反向)

使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超短的TCP Fin_Ack数据包

TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于17/FA,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Fin_Ack流入

1.从多个源主机到较少目的主机的超短的TCP Fin_Ack流在目的端超过最小发散度和最小最小流动率

 

2.从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Fin_Ack流出

1. 从较少源主机到多个目的主机的超短的TCP Fin_Ack流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Fin_Ack端口扫描

1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Fin_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Fin_Ack主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Fin_Ack对角扫描 从单个或多个源主机到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Fin_Ack网格扫描 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Fin_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
超短的TCP Fin_Ack端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Fin_Ack主机扫描(反向)

1.使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度

 

2.使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Fin_Ack对角扫描(反向) 从单个或多个源主机到多个目的主机的超短的TCP Fin_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短的TCP Fin_Ack网格扫描(反向) 使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Fin_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超短的TCP握手数据包

TCP流无负载数据超过阈值。每个包的字节在40到44个字节之间,TCP标志值 (19/ASF, 22/ARS, 23/ARSF),表示打开或关闭TCP会话,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP握手攻击 从多个源主机到较少目的主机的超短的TCP握手流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
超短的TCP握手流入 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小流动率 DoS / Flash拥塞
超短的TCP握手流出

1. 从较少源主机到多个目的主机的超短的TCP握手流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP握手端口扫描

1. 从单个或多个源主机到单个或多个目的主机的超短的TCP握手流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP握手流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP握手主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP握手对角扫描 从单个或多个源主机到多个目的主机的超短的TCP握手流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
超短的TCP握手 网格扫描 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP握手流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
超短的TCP握手 端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP握手 主机扫描(反向)

1.使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP握手 对角扫描(反向) 从单个或多个源主机到多个目的主机的超短的TCP握手流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短的TCP握手 网格扫描(反向) 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP握手流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
 

超短的TCP Psh_Ack_No-Syn_Fin数据包

TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值(24/PA, 28/APR),表示TCP Psh_Ack,但是不包含Syn/Fin,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Psh_Ack攻击 从多个源主机到较少目的主机的超短的TCP Psh_Ack流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
超短的TCP Psh_Ack流入 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小流动率 DoS / Flash拥塞
超短的TCP Psh_Ack流出

1.从较少源主机到多个目的主机的超短的TCP Psh_Ack流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Psh_Ack端口扫描

1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Psh_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh_Ack主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh_Ack对角扫描 从单个或多个源主机到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
超短的TCP Psh_Ack网格扫描 从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Psh_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
超短的TCP Psh_Ack端口扫描(反向)

1.使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh_Ack主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh_Ack对角扫描(反向) 从单个或多个源主机到多个目的主机的超短的TCP Psh_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短的TCP Psh_Ack网格扫描(反向) 使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超短的TCP Psh_No-Ack数据包

TCP流无数据负载超过阈值。每个包的字节在40到44个之间,TCP标志值(8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF),表示TCP Psh,但是不包含Ack,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Psh 攻击 从多个源主机到较少目的主机的超短的TCP Psh流在目的终端超过最小发散度和最小流动率
DoS / Flash拥塞
超短的TCP Psh 流入 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小流动率 DoS / Flash拥塞
超短的TCP Psh 流出

1. 从较少源主机到多个目的主机的超短的TCP Psh流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Psh 端口扫描

1. 从单个或多个源主机到单个或多个目的主机的超短的TCP Psh流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的超短的TCP Psh流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh 主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Psh流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Psh流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh 对角扫描 从单个或多个源主机到多个目的主机的超短的TCP Psh流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Psh 网格扫描 从单个或多个源主机到多个目的主机的超短的TCP Psh流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Psh 端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh 主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Psh 对角扫描(反向) 从单个或多个源主机到多个目的主机的超短的TCP Psh流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Psh 网格扫描(反向) 使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Psh流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
超短的TCP Rst_Ack数据包 TCP流无数据负载超过阈值。每个包的字节在40到44个之间,TCP标志值 (20/AR, 21/ARF),表示TCP Rst_Ack流,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Rst_Ack流入

1. 从多个源主机到较少目的主机的超短的TCP Rst_Ack流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Rst_Ack流出

1.  从较少源主机到多个目的主机的超短的TCP Rst_Ack流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Rst_Ack端口扫描

1.  从单个或多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的超短的TCP Rst_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Rst_Ack主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Rst_Ack对角扫描  从单个或多个源主机到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
超短的TCP Rst_Ack网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Rst_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用率
扫描 / 探针
超短的TCP Rst_Ack端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Rst_Ack主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Rst_Ack对角扫描(反向)  从单个或多个源主机到多个目的主机的超短的TCP Rst_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Rst_Ack网格扫描(反向)  使用多个端口从多个源主机到单个或多个目的主机的超短的TCP Rst_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
超短的TCP Syn_Ack数据包 TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于18/SA,达到或超过上限并且未满足以下列出的问题 DoS / Flash拥塞
超短的TCP Syn_Ack流入

1. 从多个源主机到较少目的主机的超短的TCP Syn_Ack流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Syn_Ack流出

1.  从较少源主机到多个目的主机的超短的TCP Syn_Ack流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Syn_Ack端口扫描

1.  从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的超短的TCP Syn_Ack流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Ack主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Ack对角扫描  从单个或多个源主机到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Syn_Ack网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Syn_Ack流在目的端超过最小横向跨度或最小纵向跨度和最小占用 扫描 / 探针
超短的TCP Syn_Ack端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Ack主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Ack对角扫描(反向)  从单个或多个源主机到多个目的主机的超短的TCP Syn_Ack流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短的TCP Syn_Ack网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Ack流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
超短的TCP Syn_Rst数据包 TCP流无负载数据超过阈值。每个包的字节在40到44个之间,TCP标志值等于6/RS,表示TCP Syn_Rst流,但是没有Urg/Ack/Psh标志,达到或超过上限并且未满足以下列出的问题 可疑的流
超短的TCP Syn_Rst攻击  从多个源主机到较少目的主机的超短的TCP Syn_Rst流在目的端超过最小发散度和最小最小流动率
DoS / Flash拥塞
超短的TCP Syn_Rst流入  从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小流动率 DoS / Flash拥塞
超短的TCP Syn_Rst流出

1.  从较少源主机到多个目的主机的超短的TCP Syn_Rst流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小流动率

DoS / Flash拥塞
超短的TCP Syn_Rst端口扫描

1.  从单个或多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的超短的TCP Syn_Rst流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Rst主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Rst对角扫描  从单个或多个源主机到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
超短的TCP Syn_Rst网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的超短的TCP Syn_Rst流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
超短的TCP Syn_Rst端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Rst主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的TCP Syn_Rst对角扫描(反向)  从单个或多个源主机到多个目的主机的超短的TCP Syn_Rst流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短TCP Syn_Rst网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的超短的TCP Syn_Rst流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Fin 违反

TCP流包含的TCP标志值 (1/F, 5/RF),达到或超过上限并且未满足以下列出的问题

可疑的流
TCP Fin攻击  从多个源主机到较少目的主机的TCP Fin流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
TCP Fin流入  从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小流动率 DoS / Flash拥塞
TCP Fin流出

1.  从较少源主机到多个目的主机的TCP Fin流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小流动率

DoS / Flash拥塞
TCP Fin端口扫描/

1.  从单个或多个源主机到单个或多个目的主机的TCP Fin流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Fin流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Fin主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Fin流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的TCP Fin流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Fin对角扫描  从单个或多个源主机到多个目的主机的TCP Fin流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
TCP Fin网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Fin流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Fin端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Fin流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Fin主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Fin对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Fin流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Fin网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的TCP Fin流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Null违反 TCP流包含的TCP标志值等于0/Null,达到或超过上限并且未满足以下列出的问题 可疑的流
TCP Null攻击  从多个源主机到较少目的主机的TCP Null流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
TCP Null流入  从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小流动率 DoS / Flash拥塞
TCP Null流出

1.  从较少源主机到多个目的主机的TCP Null流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小流动率

DoS / Flash拥塞
TCP Null端口扫描/

1.  从单个或多个源主机到单个或多个目的主机的TCP Null流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Null流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Null主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Null流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的TCP Null流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Null对角扫描  从单个或多个源主机到多个目的主机的TCP Null流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
TCP Null网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Null流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Null端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Null流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Null主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Null对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Null流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Null网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的TCP Null流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Rst违反 TCP流包含的TCP标志值等于4/R,达到或超过上限并且未满足以下列出的问题 可疑的流
TCP Rst攻击  从多个源主机到较少目的主机的TCP Rst流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
TCP Rst流入  从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小流动率 DoS / Flash拥塞
TCP Rst流出

1.  从较少源主机到多个目的主机的TCP Rst流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小流动率

DoS / Flash拥塞
TCP Rst端口扫描

1.  从单个或多个源主机到单个或多个目的主机的TCP Rst流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Rst流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Rst主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Rst流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的TCP Rst流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Rst对角扫描  从单个或多个源主机到多个目的主机的TCP Rst流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
TCP Rst网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Rst流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Rst端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Rst流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Rst主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Rst对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Rst流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Rst网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的TCP Rst流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Syn_Fin违反 TCP流包含的TCP标志值 (3/SF, 7/RSF),表示TCP Syn_Fin或Syn_Rst_Fin流,但是没有Urg/Ack/Psh标志,达到或超过上限并且未满足以下列出的问题 可疑的流
TCP Syn_Fin攻击  从多个源主机到较少目的主机的TCP Syn_Fin流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
TCP Syn_Fin流入  从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小流动率 DoS / Flash拥塞
TCP Syn_Fin流出

1. 从较少源主机到多个目的主机的TCP Syn_Fin流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小流动率

DoS / Flash拥塞
TCP Syn_Fin端口扫描

1. 从单个或多个源主机到单个或多个目的主机的TCP Syn_Fin流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Syn_Fin流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn_Fin主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针/
TCP Syn_Fin对角扫描  从单个或多个源主机到多个目的主机的TCP Syn_Fin流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
TCP Syn_Fin网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Syn_Fin流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Syn_Fin端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn_Fin主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Syn_Fin对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Syn_Fin流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Syn_Fin网格扫描(反向)  使用多个端口从多个源主机到单个或多个目的主机的TCP Syn_Fin流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Urg违反 TCP流包含的TCP标志(32-40, 42-63),表示所有Urg标志组合除了XMAS组合,达到或超过上限并且未满足以下列出的问题 可疑的流
TCP Urg攻击  从多个源主机到较少目的主机的TCP Urg流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
TCP Urg流入  从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小流动率 DoS / Flash拥塞
TCP Urg流出

1.  从较少源主机到多个目的主机的TCP Urg流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小流动率

DoS / Flash拥塞
TCP Urg端口扫描

1.  从单个或多个源主机到单个或多个目的主机的TCP Urg流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Urg流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Urg主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Urg流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的TCP Urg流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Urg对角扫描  从单个或多个源主机到多个目的主机的TCP Urg流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
TCP Urg网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Urg流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Urg端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Urg流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Urg主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Urg对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Urg流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Urg网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的TCP Urg流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     
TCP Xmas违反 TCP流包含的TCP标志值等于41/UPF,达到或超过上限并且未满足以下列出的问题 可疑的流
TCP Xmas流入

1. 从多个源主机到较少目的主机的TCP Xmas流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小流动率

DoS / Flash拥塞
TCP Xmas流出

1.  从较少源主机到多个目的主机的TCP Xmas流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小流动率

DoS / Flash拥塞
TCP Xmas端口扫描

1.  从单个或多个源主机到单个或多个目的主机的TCP Xmas流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的TCP Xmas流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Xmas主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的TCP Xmas流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的TCP Xmas流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Xmas对角扫描  从单个或多个源主机到多个目的主机的TCP Xmas流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
TCP Xmas网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的TCP Xmas流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
TCP Xmas端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Xmas主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
TCP Xmas对角扫描(反向)  从单个或多个源主机到多个目的主机的TCP Xmas流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
TCP Xmas网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的TCP Xmas流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

格式不正确的TCP数据包

TCP流包含的每个包的字节少于最小的40个字节,达到或超过上限并且未满足以下列出的问题 可疑的流
格式不正确的TCP攻击  从多个源主机到较少目的主机的格式不正确的TCP流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
格式不正确的TCP流入  从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小流动率 DoS / Flash拥塞
格式不正确的TCP流出

1.  从较少源主机到多个目的主机的格式不正确的TCP流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小流动率

DoS / Flash拥塞
格式不正确的TCP端口扫描

1.  从单个或多个源主机到单个或多个目的主机的格式不正确的TCP流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的格式不正确的TCP流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的TCP主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的TCP对角扫描  从单个或多个源主机到多个目的主机的格式不正确的TCP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
格式不正确的TCP网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的格式不正确的TCP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
格式不正确的TCP端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的TCP主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的TCP对角扫描(反向)  从单个或多个源主机到多个目的主机的格式不正确的TCP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
格式不正确的TCP网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的格式不正确的TCP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

ICMP请求广播

ICMP请求流发送到广播/多播IP,目的端口 (2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request),达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击 DoS / Flash拥塞
ICMP请求广播攻击 从多个源主机到较少目的主机的ICMP请求广播流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
ICMP请求广播流入  从单个或多个源主机到单个或多个目的主机的ICMP请求广播流在目的端超过最小流动率 DoS / Flash拥塞
ICMP请求广播流出

1.  从较少源主机到多个目的主机的ICMP请求广播流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP请求广播流在目的端超过最小流动率

DoS / Flash拥塞
ICMP请求广播主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP请求广播流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP请求广播流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICM请求广播 主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP请求广播流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

超额的ICMP请求

ICMP请求流超过阈值,包含的目的端口(2048/Echo Request, 3328/Timestamp Request, 3840/Information Request, 4352/Address Mask Request),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP请求流入

1.从多个源主机到较少目的主机的ICMP请求流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP请求流在目的端超过最小流动率

DoS / Flash拥塞
ICMP请求流出

1. 从较少源主机到多个目的主机的ICMP请求流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP请求流在目的端超过最小流动率

DoS / Flash拥塞
ICMP请求主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP请求流在目的端超过最小横向跨度

2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP请求流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP请求主机扫描(反向)

1.使用单个源端口从多个源主机到单个或多个目的主机的ICMP请求流在源端超过最小横向跨度

 

2.使用较少源端口从多个源主机到单个或多个目的主机的ICMP请求流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

超额的ICMP应答

ICMP相应流超过阈值,包含目的端口 (0/Echo Reply, 3584/Timestamp Reply, 4096/Information Reply, 4608/Address Mask Reply),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP应答流入

1. 从多个源主机到较少目的主机的ICMP应答流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP应答流在目的端超过最小流动率

DoS / Flash拥塞
ICMP应答流出

1. 从较少源主机到多个目的主机的ICMP应答流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP应答流在目的端超过最小流动率

DoS / Flash拥塞
ICMP应答主机扫描

1.从单个或多个源主机在一个单独的目的端口到多个目的主机的 ICMP应答流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP应答流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP应答主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的ICMP应答流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的ICMP应答流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP主机不可达

ICMP主机不可达流,包含目的端口 (769/Host Unreachable, 773/Source Route Failed, 775/Host Unknown, 776/Source Host Isolated (obsolete), 778/Host Administratively Prohibited, 780/Host Unreachable for TOS, 781/Communication administratively prohibited by filtering),达到或超过上限并且未满足以下列出的问题 可疑的流

ICMP主机不可达流入

 

1. 从多个源主机到较少目的主机的ICMP主机不可达流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP主机不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP主机不可达流出

1.  从较少源主机到多个目的主机的ICMP主机不可达流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP主机不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP主机不可达主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP主机不可达流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP主机不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP主机不可达主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP主机不可达流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP主机不可达流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP网络不可达

ICMP网络不可达流,包含目的端口 (768/Network Unreachable, 774/Network Unknown, 777/Network Administratively Prohibited, 779/Network Unreachable for TOS),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP网络不可达流入

1. 从多个源主机到较少目的主机的ICMP网络不可达流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP网络不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP网络不可达流出

1.  从较少源主机到多个目的主机的ICMP网络不可达流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP网络不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP网络不可达主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP网络不可达流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP网络不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP网络不可达主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP网络不可达流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP网络不可达流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP参数问题的流

ICMP参数问题的流,目的端口值 (3072/IP Header Bad, 3073/Required Option Missing, 3074/Bad Length),达到或超过上限并且未满足以下列出的问题。通常表明一些本地或远程实施失败,也就是无效报文。

可疑的流
ICMP参数问题流入

1. 从多个源主机到较少目的主机的ICMP参数问题流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP参数问题流在目的端超过最小流动率

DoS / Flash拥塞
ICMP参数问题流出

1.  从较少源主机到多个目的主机的ICMP参数问题流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP参数问题流在目的端超过最小流动率

DoS / Flash拥塞
ICMP参数问题主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP参数问题流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP参数问题流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP参数问题主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP参数问题流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP参数问题流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP端口不可达

ICMP的ToS不可达流,目的端口值 (779/Network Unreachable for TOS, 780/Host Unreachable for TOS),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP端口不可达流入

1. 从多个源主机到较少目的主机的ICMP端口不可达流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率

DoS / Flash拥塞

 

ICMP端口不可达流出

1.  从较少源主机到多个目的主机的ICMP端口不可达流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP端口不可达主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP端口不可达主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP端口不可达

ICMP端口不可达流,目的端口值等于771/Port,达到或超过上限并且未满足以下列出的问题。可以在活动的TCP会话用来执行拒绝服务,造成TCP连接失败。 DoS / Flash拥塞
ICMP端口不可达流入

1. 从多个源主机到较少目的主机的ICMP端口不可达流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP端口不可达流出

1.  从较少源主机到多个目的主机的ICMP端口不可达流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP端口不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP端口不可达主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP端口不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP端口不可达主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP端口不可达流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

ICMP重定向

ICMP重定向流,目的端口值 (1280/Redirect for Network, 1281/Redirect for Host, 1282/Redirect for ToS and Network, 1283/Redirect for ToS and Host),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP重定向流入

1. 从多个源主机到较少目的主机的ICMP重定向流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP重定向流在目的端超过最小流动率

DoS / Flash拥塞
ICMP重定向流出

1.  从较少源主机到多个目的主机的ICMP重定向流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP重定向流在目的端超过最小流动率

DoS / Flash拥塞
ICMP重定向主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP重定向流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP重定向流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP重定向主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP重定向流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP重定向流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

ICMP源被破坏的流

ICMP源被破坏的流,目的端口值等于(1024/Source Quench),达到或超过上限并且未满足以下列出的问题。过期,但是可以通过限制路由器或主机的带宽,用于拒绝服务攻击。

DoS / Flash拥塞
ICMP源被破坏流入

1. 从多个源主机到较少目的主机的ICMP源被破坏流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP源被破坏流在目的端超过最小流动率

DoS / Flash拥塞
ICMP源被破坏流出

1.  从较少源主机到多个目的主机的ICMP源被破坏流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP源被破坏流在目的端超过最小流动率

DoS / Flash拥塞
ICMP源被破坏主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP源被破坏流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的ICMP源被破坏流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP源被破坏主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP源被破坏流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP源被破坏流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

ICMP超时的流

ICMP超时的流,目的端口值 (2816/Time-to-live equals 0 During Transit, 2817/Time-to-live equals 0 During Reassembly),达到或超过上限并且未满足以下列出的问题。表明路由跟踪或数据报文碎片重组失败。

可疑的流
ICMP超时流入

1. 从多个源主机到较少目的主机的ICMP超时流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP超时流在目的端超过最小流动率

DoS / Flash拥塞
ICMP超时流出

1.  从较少源主机到多个目的主机的ICMP超时流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP超时流在目的端超过最小流动率

DoS / Flash拥塞
ICMP超时主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP超时流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP超时流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP超时主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP超时流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP超时流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

ICMP路由跟踪的流

ICMP路由跟踪的流,目的端口等于7680/Trace Route,达到或超过上限并且未满足以下列出的问题。表明试图路由跟踪。

可疑的流
ICMP路由跟踪流入

1. 从多个源主机到较少目的主机的ICMP路由跟踪流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP路由跟踪流在目的端超过最小流动率

DoS / Flash拥塞
ICMP路由跟踪流出

1.  从较少源主机到多个目的主机的ICMP路由跟踪流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP路由跟踪流在目的端超过最小流动率

DoS / Flash拥塞
ICMP路由跟踪主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP路由跟踪流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP路由跟踪流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP路由跟踪主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP路由跟踪流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP路由跟踪流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
   

ICMP ToS不可达

ICMP ToS不可达流,目的端口值 (779/Network Unreachable for TOS, 780/Host Unreachable for TOS),达到或超过上限并且未满足以下列出的问题

可疑的流
ICMP ToS不可达流入

1. 从多个源主机到较少目的主机的ICMP ToS不可达流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP ToS不可达流在目的端超过最小流动率

DoS / Flash拥塞

ICMP ToS不可达流出

 

1.  从较少源主机到多个目的主机的ICMP ToS不可达流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP ToS不可达流在目的端超过最小流动率

DoS / Flash拥塞
ICMP ToS不可达主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP ToS不可达流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的 ICMP ToS不可达流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
IICMP ToS不可达主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP ToS不可达流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP ToS不可达流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

格式不正确的ICMP数据包

ICMP流中每个包包含的字节少于最少的28个字节,达到或超过上限并且未满足以下列出的问题

可疑的流
格式不正确的ICMP流入

1. 从多个源主机到较少目的主机的格式不正确的 ICMP流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的格式不正确的 ICMP流在目的端超过最小流动率

DoS / Flash拥塞
格式不正确的ICMP流出

1.  从较少源主机到多个目的主机的格式不正确的 ICMP流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的格式不正确的 ICMP流在目的端超过最小流动率

DoS / Flash拥塞
格式不正确的ICMP主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的 ICMP流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的 ICMP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的ICMP主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的 ICMP流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的 ICMP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

ICMP数据包转换错误的流

ICMP数据包转换错误的流,目的端口等于7936/Datagram Conversion Error,对于有效的报文。达到或超过上限并且未满足以下列出的问题。

可疑的流

ICMP数据包转换错误流入

1. 从多个源主机到较少目的主机的ICMP数据包转换错误流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的ICMP数据包转换错误流在目的端超过最小流动率

DoS / Flash拥塞

ICMP数据包转换错误流出

1.  从较少源主机到多个目的主机的ICMP数据包转换错误流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的ICMP数据包转换错误流在目的端超过最小流动率

DoS / Flash拥塞
ICMP数据包转换错误主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的ICMP数据包转换错误流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的ICMP数据包转换错误流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
ICMP数据包转换错误主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的ICMP数据包转换错误流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的ICMP数据包转换错误流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

超额的UDP Echo应答

UDP Echo从源端口7 (Echo)应答,达到或超过上限并且未满足以下列出的问题

可疑的流
UDP Echo应答流入

1.从多个源主机到较少目的主机的UDP Echo应答流在目的端超过最小发散度和最小最小流动率

 

2.从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo应答流出

1. 从较少源主机到多个目的主机的UDP Echo应答流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo应答端口扫描

1. 从单个或多个源主机到单个或多个目的主机的UDP Echo应答流在目的端超过最小纵向跨度

 

2. 从单个或多个源主机到较少目的主机的多个端口的UDP Echo应答流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo应答主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo应答对角扫描 从单个或多个源主机到多个目的主机的UDP Echo应答流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点) 扫描 / 探针
UDP Echo应答网格扫描 从单个或多个源主机在多个目的端口上到多个目的主机的UDP Echo应答流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
UDP Echo应答主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo应答流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo应答流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

超额的UDP Echo请求

UDP Echo从源端口7 (Echo)应答,达到或超过上限并且未满足以下列出的问题 可疑的流
UDP Echo请求流入

1.从多个源主机到较少目的主机的UDP Echo请求流在目的端超过最小发散度和最小最小流动率

 

2.从单个或多个源主机到单个或多个目的主机的UDP Echo请求流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo请求流出

1. 从较少源主机到多个目的主机的UDP Echo请求流在源终端超过最小发散度和最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的UDP Echo请求流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo请求主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo请求流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo请求流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo请求端口扫描(反向)

1. 使用多个源端口从单个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小纵向跨度

 

2. 使用多个源端口从较少源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度、最小占用率和最小纵横

扫描 / 探针
UDP Echo请求主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo请求对角扫描(反向) 从单个或多个源主机到多个目的主机的UDP Echo请求流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
UDP Echo请求网格扫描(反向) 使用多个端口从多个源主机到单个或多个目的主机的UDP Echo请求流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

UDP Echo请求广播

UDP Echo请求到目的端口7 (Echo)发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上的扩大了攻击。

DoS / Flash拥塞
UDP Echo请求广播攻击  从多个源主机到较少目的主机的UDP Echo请求广播流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
UDP Echo请求广播流入

 从单个或多个源主机到单个或多个目的主机的UDP Echo请求广播流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo请求广播流出

1.  从较少源主机到多个目的主机的UDP Echo请求广播流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Echo请求广播流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo请求广播主机扫描

1. 从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo请求广播流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo请求广播流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo请求广播端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo请求广播主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo请求广播对角扫描(反向)  从单个或多个源主机到多个目的主机的UDP Echo请求广播流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
UDP Echo请求广播网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的UDP Echo请求广播流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

UDP Chargen-Echo广播

UDP流,从源端口19/Chargen到目的端口7/Echo,发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。

DoS / Flash拥塞
UDP Chargen-Echo广播攻击  从多个源主机到较少目的主机的UDP Chargen-Echo广播流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
UDP Chargen-Echo广播流入

 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在目的端超过最小流动率

DoS / Flash拥塞

UDP Chargen-Echo广播流出

 

1.  从较少源主机到多个目的主机的UDP Chargen-Echo广播流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在目的端超过最小流动率

DoS / Flash拥塞
UDP Chargen-Echo广播主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Chargen-Echo广播流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Chargen-Echo广播流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Chargen-Echo广播主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo广播流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

UDP Echo-Chargen广播

UDP流,从源端口7/Echo到目的端口19/Chargen,发送一个广播/多播IP,达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。

DoS / Flash拥塞
UDP Echo-Chargen广播攻击  从多个源主机到较少目的主机的UDP Echo-Chargen广播流在目的终端超过最小发散度和最小流动率
DoS / Flash拥塞
UDP Echo-Chargen广播流入

从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo-Chargen广播流出

1.  从较少源主机到多个目的主机的UDP Echo-Chargen广播流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo-Chargen广播主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo-Chargen广播流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo-Chargen广播流在目的端超过最小横向跨度、最小占用率和最小纵横比
扫描 / 探针
UUDP Echo-Chargen广播主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在源端超过最小横向跨度

 

2. 使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen广播流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

空的UDP数据包

UDP流布包含任何数据,每个包的字节等于28个字节。达到或超过上限并且未满足以下列出的问题。

可疑的流
Empty UDP攻击  从多个源主机到较少目的主机的Empty UDP流在目的终端超过最小发散度和最小流动率
DoS / Flash拥塞
Empty UDP流入

 从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小流动率

DoS / Flash拥塞
Empty UDP流出

1.  从较少源主机到多个目的主机的Empty UDP流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小流动率

DoS / Flash拥塞
Empty UDP端口扫描

1.  从单个或多个源主机到单个或多个目的主机的Empty UDP流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的Empty UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
Empty UDP主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的Empty UDP流在目的端超过最小横向跨度

 

2. 从单个或多个源主机在较少目的端口到多个目的主机的Empty UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
Empty UDP对角扫描  从单个或多个源主机到多个目的主机的Empty UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
Empty UDP网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的Empty UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
Empty UDP端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的Empty UDP流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的Empty UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
Empty UDP主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的流Empty UDP在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的Empty UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
Empty UDP对角扫描(反向)  从单个或多个源主机到多个目的主机的Empty UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点) 扫描 / 探针
Empty UDP网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的Empty UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

超短的UDP数据包

UDP流无数据负载超过阈值。每个包的字节在29到32个之间。达到或超过上限并且未满足以下列出的问题。

可疑的流
超短的UDP攻击  从多个源主机到较少目的主机的超短的UDP流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
超短的UDP流入

 从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小流动率

DoS / Flash拥塞
超短的UDP流出

1.  从较少源主机到多个目的主机的超短的UDP流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小流动率

DoS / Flash拥塞
超短的UDP端口扫描

1.  从单个或多个源主机到单个或多个目的主机的超短的UDP流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的超短的UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的UDP主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的超短的UDP流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的超短的UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的UDP对角扫描  从单个或多个源主机到多个目的主机的超短的UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
超短的UDP网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的超短的UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率
扫描 / 探针
超短的UDP端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的超短的UDP流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的UDP主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
超短的UDP对角扫描(反向)  从单个或多个源主机到多个目的主机的超短的UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
超短的UDP网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的超短的UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
     

格式不正确的UDP数据包

UDP流中每个包的字节少于最少的28个字节。达到或超过上限并且未满足以下列出的问题。

可疑的流
格式不正确的UDP攻击  从多个源主机到较少目的主机的格式不正确的UDP流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
格式不正确的UDP流入

 从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小流动率

DoS / Flash拥塞
格式不正确的UDP流出

1.  从较少源主机到多个目的主机的格式不正确的UDP流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小流动率

DoS / Flash拥塞
格式不正确的UDP端口扫描

1.  从单个或多个源主机到单个或多个目的主机的格式不正确的UDP流在目的端超过最小纵向跨度

 

2.  从单个或多个源主机到较少目的主机的多个端口的格式不正确的UDP流在目的端超过最小纵向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的UDP主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的UDP对角扫描  从单个或多个源主机到多个目的主机的格式不正确的UDP流在目的端超过最小对角扫描,这里明显出现目的主机等于目的端口,同时也等于目的终端点的数量 (主机=端口=终端点)
扫描 / 探针
格式不正确的UDP网格扫描  从单个或多个源主机在多个目的端口上到多个目的主机的格式不正确的UDP流在目的端超过最小横向跨度或最小纵向跨度和最小占用率 扫描 / 探针
格式不正确的UDP端口扫描(反向)

1.  使用多个源端口从单个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小纵向跨度

 

2.  使用多个源端口从较少源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确的UDP主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
格式不正确UDP对角扫描(反向)  从单个或多个源主机到多个目的主机的格式不正确的UDP流在源端超过最小对角扫描,这里明显出现源主机等于源端口,同时也等于源终端点的数量 (主机=端口=终端点 扫描 / 探针
格式不正确的UDP网格扫描(反向)  使用多个源端口从多个源主机到单个或多个目的主机的格式不正确的UDP流在源端超过最小纵向跨度或最小横向跨度和最小占用率 扫描 / 探针
   

Snork攻击流

UDP流,源端口 (7, 19, 135)、目的端口 (135),达到或超过上限并且未满足以下列出的问题。表明拒绝服务攻击Windows NT RPC服务。 DoS / Flash拥塞
UDP Snork攻击  从多个源主机到较少目的主机的UDP Snork流在目的终端超过最小发散度和最小流动率 DoS / Flash拥塞
UDP Snork流入

 从单个或多个源主机到单个或多个目的主机的UDP Snork流在目的端超过最小流动率

DoS / Flash拥塞
UDP Snork流出

1.  从较少源主机到多个目的主机的UDP Snork流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Snork流在目的端超过最小流动率

DoS / Flash拥塞
UDP Snork主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Snork流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Snork流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Snork主机扫描(反向)

1. 使用单个源端口从多个源主机到单个或多个目的主机的 UDP Snork流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的UDP Snork流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针

超额的UDP Chargen-Echo流

UDP流,从源端口19/Chargen到目的端口7/Echo,发送到任何单一传播IP达到或超过上限并且未满足以下列出的问题。表明可能在源IP上扩大了攻击。

DoS / Flash拥塞
UDP Chargen-Echo流入

1. 从多个源主机到较少目的主机的UDP Chargen-Echo流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo流在目的端超过最小流动率

DoS / Flash拥塞
UDP Chargen-Echo流出

1.  从较少源主机到多个目的主机的UDP Chargen-Echo流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Chargen-Echo流在目的端超过最小流动率

DoS / Flash拥塞
UDP Chargen-Echo主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Chargen-Echo流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Chargen-Echo流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Chargen-Echo主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的UDP Chargen-Echo流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
     

超额的UDP Echo-Chargen流

UDP流,从源端口7/Echo到目的端口19/Chargen,发送到任何单一传播IP达到或超过上限并且未满足以下列出的问题  。表明可能在源IP上扩大了攻击。

DoS / Flash拥塞
UDP Echo-Chargen流入

1. 从多个源主机到较少目的主机的UDP Echo-Chargen流在目的端超过最小发散度和最小最小流动率

 

2. 从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo-Chargen流出

1.  从较少源主机到多个目的主机的UDP Echo-Chargen流在源终端超过最小发散度和最小流动率

 

2.  从单个或多个源主机到单个或多个目的主机的UDP Echo-Chargen流在目的端超过最小流动率

DoS / Flash拥塞
UDP Echo-Chargen主机扫描

1.  从单个或多个源主机在一个单独的目的端口到多个目的主机的UDP Echo-Chargen流在目的端超过最小横向跨度

 

2.  从单个或多个源主机在较少目的端口到多个目的主机的UDP Echo-Chargen流在目的端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针
UDP Echo-Chargen主机扫描(反向)

1.  使用单个源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen流在源端超过最小横向跨度

 

2.  使用较少源端口从多个源主机到单个或多个目的主机的UDP Echo-Chargen流在源端超过最小横向跨度、最小占用率和最小纵横比

扫描 / 探针