 描述
敌人使用完整的TCP连接试图确定一个端口是否开放在目标系统上。扫描过程包括完成“三方握手”与远程端口,和报告的端口关闭如果无法建立完整的握手。TCP连接扫描的一个优势是它不利于任何TCP / IP堆栈。
扩展描述
RFC 793定义了TCP连接是如何建立和拆除。TCP连接扫描通常涉及建立一个完整的连接,然后随后撕裂下来,因此涉及到发送大量的数据包,每个端口扫描。相比其他类型的扫描,TCP连接扫描缓慢而有条不紊。这种类型的扫描引起相当大的噪音可以发现系统日志和IDS / IPS系统。TCP连接端口是打开时扫描可以检测通过完成三方握手,但不能区分一个端口与没有过滤服务运行在它从一个端口过滤的防火墙,但包含一个现役。由于大量数据包交换每端口,TCP连接扫描可以成为非常耗时(执行一个完整的TCP连接扫描对主机可以多个天)。一般来说,它不是作为一个方法来执行一个全面的端口扫描,但被预留给检查短的常见端口列表。
典型的严重性
执行流程
实验
-
敌人的企图和与目标端口初始化一个TCP连接。
-
敌人使用TCP连接的结果来确定目标端口的状态。成功连接表明服务监听一个端口是打开的时候显示端口没有打开的连接失败。
先决条件
| 对手需要逻辑访问到目标网络。TCP连接扫描需要能够连接到一个可用端口和完成一个“three-way-handshake”这种扫描技术不需要任何特权来执行。违背这种类型的扫描所有TCP / IP栈的实现。 |
所需资源
| 敌人可以利用网络映射器或扫描仪,通过常规的套接字编程或执行这种攻击脚本语言。为此包注入工具也非常有用。根据使用的方法可能需要嗅探网络响应。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 雇佣一个健壮的网络防御的姿态,包括一个IDS / IPS系统。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
|
斯图尔特·麦克卢尔(REF-33)乔尔Scambray和乔治·库尔茨。“黑客暴露:网络安全机密和解决方案”。第二章:扫描、pg。54。第六版。麦格劳希尔》2009。 |
|
|
|
[REF-34]戈登“费奥多”里昂。“Nmap网络扫描:官方网络发现和安全扫描Nmap项目指南》。5.3节TCP连接扫描、pg》100。第三“零天”版。Insecure.com LLC, ISBN: 978-0-9799587-1-7。2008年。 |
|
|
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Prerequisites、描述描述总结、引用Related_Weaknesses, Resources_Required Solutions_and_Mitigations |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
