用sack去除扫描1433假结果?
来源:互联网 发布:java app支付宝demo 编辑:程序博客网 时间:2024/06/05 04:12
用syn类扫描器比如我的SharpTcpScanner
扫描165.194.0.0-165.195.0.0这个ip段的1433端口
会出现大量连续ip的结果
几乎每个ip都返回正常的的syn+ack,就像真有个sqlserver服务器开开启一样
但是这些都是假的,如果你真连接的话就连不上
像这样的ip段有好多
平时扫描出10万个1433,有7、8万都是这样的假结果
还有的ip段,平时单个扫描不会返回,但是一旦大量发送syn扫描就开始出现这种情况
我不知道这是什么样的设备或者程序,但可以断定应该就是一个为了防止syn扫描的东西吧
之前一直为如何去掉这样的假结果而苦恼,后来发现了一个可以比较有效去除这些假结果的办法
就是
之前扫描我发送的是syn头最短的ip:20+tcp:20共40个字节
而如果用sqlconnection去连接,它发送的是52个字节,多出来的12个字节是02 04 05 b4 01 03 03 08 01 01 04 02
这12个字节是tcp的options,其中前4个是最大包大小,04 02就是sack
而我试了一下真的sqlserver会返回48个或52个字节的syn+ack,sack那里也是04 02,意思就是允许sack
而那些假结果返回的是44个字节,tcp的options只有4个字节就是开始的最大包大小,然后就没了,意思是不允许sack
于是就可以判断了,返回44个的就是假的,于是就有效的去除了那些假结果,并且把那些真的从这些地址段中给摘了出来
看了一下微软网站的介绍,还是在介绍win2000的文章,好像可以关掉sack还是怎么着,但是我想10000个人里9000个都不知道啥是sack,999个知道的也不会去做关闭sack这种事情吧。
- 用sack去除扫描1433假结果?
- sack
- SACK信息
- history命令结果去除行号
- Postfix扫描邮件结果Action
- 二维码扫描并对扫描结果实现页面传值
- MySQL去除查询结果重复值
- MySQL去除查询结果重复值
- 24点游戏-去除重复结果
- Notepad++搜索结果带行号如何去除
- MySQL去除查询结果重复值
- MySQL去除查询结果重复值
- MySQLdistinct 去除查询重复值的结果
- Mysql| distinct去除重复的结果(DISTINCT)
- python-封装得到virustotal扫描结果
- [Android开发]zxing扫描结果乱码
- Windows XP SP1扫描结果分享
- 二维码扫描过快奔溃结果处理
- jquery UI 的区域树
- Wireshark自定义协议RPUDPDL(UDP下载)插件 (c版)
- 搭建Windows Server 2008故障转移群集
- 在管理培训行业呆了两年,看到了行业的一些内幕
- Ipvsadm参数详解(常用命令)
- 用sack去除扫描1433假结果?
- 学一学在杭州如何注册一家自己的公司
- IE7、IE8、firefox下的margin-top问题 折叠margin
- ExpandableListView自定义图标
- Spring配置数据库的几种常见方式
- wps页眉中设置横线
- tornado的安装
- 你真的需要定期重装Windows吗?
- 从二项式分布到多项式分布-从Beta分布到Dirichlet分布