⽹络扫描——⾮常不错的⽂章,主要分为端⼝扫描(确定开放服务)和主机扫描(确定机器存活)
第五章⽹络扫描
重点内容:
1. ⽹络扫描的基本概念、原理、分类
2. ⽹络扫描的防范⽅法
通过前⾯的学习,我们已经知道访问控制是(操作)系统安全的基础,⽽局域⽹的安全管理则是⽹络安全的⽹络基础。在⼀个不安全的局域⽹中,任何⽹络层的加密数据都有着被嗅探的风险,⽽⼀旦攻击者渗透进⼊内部⽹络,后果将不堪设想。对于内⽹安全,我们应该从管理好ARP 协议开始。⽹络监听便是⼀种被动分析⽹络安全的重要⼿段。
在本章节将介绍⽹络扫描技术,⽹络扫描是主动分析⽹络安全的重要⼿段。对于⿊客来说,⽹络扫描是⽹络⼊侵的序曲,是信息收集的⼿段之⼀;同时对于⽹络管理员来说,⽹络扫描是⽹络安全防御的⾃我检测⼿段。
5.1 ⽹络扫描与信息收集
当进⾏军事攻击时,第⼀步便是收集情报,这是⾮常重要的,如果收集的数据量是不够的,或者⽬标是严密防守的,便不会轻易发动攻击,反之只有⾜够的信息⽅可确保任务顺利完成。正如《孙⼦兵法》中所说:知⼰知彼,⽅可百战不殆。⽹络扫描便是实现信息收集⽬的的⼿段之⼀。
信息收集的⽬标主要包括:⽬标主机、⽬标⽹络、⽬标应⽤/服务以及⽬标⼈。对于在线状态下的⽬标主机,信息收集的主要⼯作是获取其端⼝的开放情况和⽹络服务的详细信息。对于⽬标⽹络,获得其⽹络拓扑结构情况是重中之重。分析⽬标应⽤/服务的版本信息并在多种漏洞信息数据库中进⾏查匹配,有助于快速判断⽬标是否存在已知漏洞。收集了解⽬标⼈的⾏为习惯、兴趣爱好,是进⾏针对性社会⼯程学攻击的必要条件。
除了对⽬标⼈的信息收集之外,技术相关信息收集可概括为三步:(1)踩点;(2)扫描;(3)枚举。
5.1.1 踩点
踩点便是构造⼀个关于⽬标站点的概要⽂件。通过简单的⼯具进⾏踩点,来进⾏以下⽅⾯的信息收集:(1)管理信息、技术信息、客户信息和⼀些账单的信息。包括员⼯姓名、电⼦邮件地址、电话和传真号码等;(2)IP 地址范围;(3)DNS 服务器;(4)邮件服务器。并且我们也可以识别⼀些直接连接到互联⽹上的系统。
这⾥⼤部分的信息在互联⽹上是可以⾃由访问的。这种对于⽬标主机、⽬标⽹络和⽬标应⽤/服务的信息采集的⽅式便是直接访问。⽽另外⼀种踩点便是⿊盒测试,可使⽤特定的客户端连接指定端⼝/应⽤/服务,例如使⽤浏览器 /FTP/telnet 远程连接等;也可使⽤特定账号和⼝令尝试登录;或者进⾏交互模仿的⽅式进⾏信息采集。
5.1.2 扫描
扫描便是通过互联⽹检测在线并可访问的主机,以及他们所提供的服务。所使⽤到的技术例如:PING、端⼝扫描和操作系统识别均可称之为⽹络扫描。这⾥收集的信息类型包含有:(1)运⾏在每个系统的 TCP/UDP 服务的识别;(2)系统架构(Unix、windows 等);(3)通过互联⽹访问系统特定的 IP 地址;(4)操作系统的类型和漏洞等级。简⾔之扫描就如同⼀个盗贼对想进⼊的房⼦的所有门和窗户进⾏检测。
5.1.3 枚举
枚举就是从系统中提取有效的账户或输出的资源信息的整个过程。主动连接系统查询完成信息的收集,在本质上⽐踩点和扫描有着更⼤的侵⼊性。⼤多是针对于操作系统,可收集的信息有:⽤户和⽤户组的名称、系统的类型、路由表和 SNMP 信息。
本章将主要关注于扫描,信息收集技术的第⼆阶段。
5.2 ⽹络扫描原理
5.2.1 ⽹络扫描的基本思想
图 5-1 ⽹络扫描的基本思想
基本思想如图 5-1 所⽰:⾸先进⾏查询即扫描知识库,构建探测报⽂;再向⽬标主机发送探测报⽂,然后接受⽬标响应报⽂并扫描知识库,⽐对响应报⽂;最后⽣成扫描结果报⽂。
5.2.2 ⽹络扫描的基本原理
关于⽹络扫描的基本原理,我们主要从三个⽅⾯进⾏讲解:报⽂的发送与接收、扫描知识库的构建于规则匹配、扫描报告的⽣成。
5.2.2.1 报⽂发送与接收
其实报⽂的发送和接收就是报⽂的封装和解封装的过程,故⽽必须了解报⽂的格式以及相关服务层。图 5-2 展⽰了 TCP/IP 协议栈标准:图 5-2 TCP/IP 协议栈标准
传输控制协议(Transmission Control Protocol, TCP)是⼀种⾯向连接的、可靠的传输层协议。采⽤三次握⼿建⽴⼀个连接。
第⼀次握⼿:建⽴连接时,主机A发送 syn 包(syn=j)到主机B,并进⼊ SYN_SEND 状态,等待服务器确认;
第⼆次握⼿:主机B收到 syn 包,必须确认主机 A 的 SYN(ack=j+1),同时⾃⼰也发送⼀个 SYN 包(syn=k),即 SYN+ACK 包,此时主机B进⼊ SYN_RECV 状态;
第三次握⼿:主机A收到主机 B 的 SYN+ACK 包,向主机B发送确认包 ACK(ack=k+1),此包发送完毕,主机A和主机B进⼊ESTABLISHED 状态,完成三次握⼿。主机A与主机B开始传送数据。如图 5-3 所⽰:
图 5-3 TCP 三次握⼿
图 5-4 为 TCP 报⽂的头部格式。图 5-5 为协议栈的实现举例。TCP 报⽂段⾸部为 20 个字节。
源端⼝和⽬标端⼝:各占 2 个字节,16 ⽐特的端标语加上 32 ⽐特的 IP 地址;
序号字段:占 4 个字节,是本报⽂段所发送的数据项⽬组第⼀个字节的序号。在 TCP 传送的数据流中,每⼀个字节都有⼀个序号。
确认序号:占 4 字节,是期望收到对⽅下次发送的数据的第⼀个字节的序号,也就是期望收到的下⼀个报⽂段的⾸部中的序号。
数据偏移字段:占 4 ⽐特,默⽰数据开端的处所离 TCP 报⽂段的肇端处有多远。这实际上就是 TCP 报⽂段⾸部的长度。
保存字段: 6 ⽐特,供以后使⽤。
紧急⽐特 URGent:当 URG=1 时,表明此报⽂应尽快传送,⽽不要按本来的列队次序来传送。与“紧急指针”字段共同应⽤,紧急指针指出在本报⽂段中的紧急数据的最后⼀个字节的序号,使接管⽅可以知道紧急数据共有多长;
确认⽐特 ACK:只有当 ACK=1 时,确认序号字段才有意义;
急迫⽐特 PSH:当 PSH=1 时,恳求远程 TCP 将本报⽂段⽴即传送给其应⽤层,⽽不要等到全部缓存都填满了之后再向上交付。
复位⽐特 ReSeT:当 RST=1 时,注解呈现严重错误,必须开释连接,然后再重建传输连接。复位⽐特还⽤来拒绝⼀个不法的报⽂段或拒绝打开⼀个连接;
同步⽐特 SYN:在建⽴连接时应⽤;
终⽌⽐特 FINal:⽤来断开⼀个连接,当 FIN=1 时,请求断开传输连接;
窗⼝字段:占 2 字节,默⽰报⽂段发送⽅的接收窗⼝,单位为字节。
校验和:TCP ⾸部和 TCP 数据。这是⼀个强迫性的字段,由发端策画和存储,由收端进⾏验证。
选项字段:容许每台主机设定可以或允许接管的最⼤ TCP 载荷才能(缺省 536 字节)。
图 5-4 TCP 报⽂头部格式图 5-5 TCP 实现举例
下⾯来介绍⽤户数据报协议(User Datagram Protocol, UDP)。UDP 是⼀种提供⾯向事物的简单不可靠信息传送服务。是⼀种⽆连接协议,源和⽬的端在数据传输之前不建⽴连接,收发双⽅均⽆需维护连接状态信息,应⽤层安需维护连接状态信息。与 TCP 协议相较是⼀种尽⼒⽽为的不可靠协议。
图 5-6 UDP 报头格式
UDP 报头有4个域组成,其中每个域占两个字节,分别为:源端⼝号、⽬标端⼝号、数据包长度、校验值。下图为实现实例:图 5-7 UDP 的实现
最后介绍互联⽹控制消息协议报⽂(Internet Control Message Protocol, ICMP),ICMP 可提供反馈信息⽤于报告错误,⽹关或者⽬标主机也可利⽤ ICMP 与源主机通信。其本⾝是不可靠的传输,其控制能⼒也并不⽤于保证传输的可靠性,并且并⾮⽤来反映 ICMP 报⽂的传输情况。
其报头格式为:类型1个字节、代码1个字节、校验和1个字节和 ICMP 的数据部分(长度取决于类型)。如下图:
图 5-8 ICMP 报头
上⾯介绍了⼏种常见的协议,⽽关于协议的标准和(操作系统)协议栈的关系可以看作为:协议标准是种声明,是⼀种严格统⼀和规范的标准。如:、、、等。协议栈便是对协议标准的实现,理论上来说应严格遵守标准、完整实现。但从⼤量实践统计来看,不同开发者由于⽔平差异、任务优先级排序原因等会在实现协议标准时「偷⼯减料」或「简化实现」,这就造成了同⼀种协议标准在不同操作系统、不同应⽤
系统中表现出了不同的「协议⾏为」,这种「⾏为差异」成为了⽹络扫描识别⽬标服务、⽬标主机信息的可⾏性基础。
5.2.2.2 扫描知识库的构建和规则匹配
图 5-9 扫描知识库的构建原理
如上图所⽰:每⼀层都可构建知识库,收录其报⽂的头部特征或者负载特征,⽤于规则匹配。下⾯讲解两个关于扫描知识库构建的例⼦:
tcp ip协议是一种开放的协议标准(1) 互联⽹地址指派机构(Internet Assigned Numbers Authority, IANA)注册端⼝号
根据传输层报⽂头部字段的特征进⾏构建。公⽤端⼝为:0~1023;注册端⼝为:1024~49151;动态的或私有端⼝为:49152~65535。
(2) /etc/services ⽂件
/etc/services ⽂件是记录⽹络服务名和它们对应使⽤的端⼝号及协议。⽂件中的每⼀⾏对应⼀种服务,它由 4 个字段组成,中间⽤ TAB 或空格分隔,分别表⽰“服务名称”、“使⽤端⼝”、“协议名称”以及“别名”。如图 5-10 所⽰:
图 5-10 /etc/services ⽂件
端⼝的状态是构建知识库的基础,是传输层的概念。可分为开放、关闭和被过滤三种。开放状态下应⽤/服务监听该端⼝,并且端⼝有条件有规则地响应请求数据报⽂;关闭状态下,⽆应⽤/服务监听该端⼝,并且端⼝有条件有规则地响应或忽略请求数据报⽂(操作系统会针对SYN 请求报⽂回应 RST 报⽂);在被过滤状态下,报⽂过滤程序监听该端⼝,⽽端⼝有条件有规则地响应或忽略请求数据报⽂(报⽂过滤程序可能会返回报⽂拒绝消息)。
主机状态可分为:可达(在线)和不可达(离线)两种。可达情况下⾄少有⼀种类型的请求数据包有响
应(充要条件),并且⼀定有开放端⼝(这是充分⾮必要条件)。不可达状态下对任何类型的请求数据包均⽆响应(充分条件),⽆端⼝开放则⼀定是离线状态(必要⾮充分条件),例如⼀般 PC 机,在线时有可能并没有开放端⼝。还有就是在线主机在防⽕墙的保护下也可能是不可达状态。
关于主机状态详细信息包含有:操作系统信息,例如版本;端⼝/应⽤/服务状态信息,即端⼝状态、应⽤程序版本。主机扫描、TCP/IP 协议栈实现知识库(利⽤不同操作系统/应⽤程序的差异)是实现远程获取主机状态详细信息的基础。
关于⽹络扫描⼤致可分为两种:主机扫描和端⼝扫描。
5.2.2.2.1 主机扫描
主机扫描是在可达状态下检测,局域⽹下的 ARP 扫描和⼴域⽹下的 ICMP Echo 扫描、ICMP Sweep 扫描、ICMP Broadcast 扫描、ICMP Non-Echo 扫描都是基本的扫描技术。还有绕过防⽕墙和⽹络过滤设备的⾼级技术。
(1)ARP 扫描
向⽬标主机所在的局域⽹发送 ARP ⼴播请求,在局域⽹连通状态下⽬标主机必定会响应正常的 ARP ⼴播请求。故⽽便可获得IP地址和MAC 地址等信息。如图 5-11 所⽰:
图 5-11 ARP 扫描
(2)ICMP Echo 扫描
我们可以使⽤ ICMP 数据包,以确定⽬标 IP 地址是否存活。⾸先简单发送⼀个 ICMP 回应请求(即 ICMP 类型为 8)数据包给⽬标系统并等待是否可以接收到⼀个 ICMP 回应答复(即 ICMP 类型为 0)。如果⼀个 ICMP 回应收到回复,则意味着⽬标是活的,若没有响应意味着⽬标已消失。使⽤这种⽅法来查询多个主机被称为 Ping 扫描。Ping 扫描是⽹络扫描最为基础的⽅法。原理采⽤ Ping 的实现机制,优点是简单,多种系统⽀持。缺点是速度慢且容易被防⽕墙限制。如图 5-12 所⽰:
图 5-12 ICMP Echo 扫描
(3)ICMP Sweep 扫描
图 5-13 ICMP Sweep 扫描
如图 5-13 所⽰,ICMP Sweep 扫描实际上就是并⾏多路 ICMP Echo 扫描,原理⽅法⼤致相同。
(4)ICMP Broadcast 扫描
如图 5-14 所⽰,将 ICMP 请求包的⽬的地址设为⼴播地址或⽹络地址,则可以探测⼴播域或整个⽹络范围的主机。但这种扫描只是适⽤于UNIX/LinUX 系统,Windows 会忽略这种请求包,同时这种扫描⽅式容易引起⼴播风暴。
图 5-14 ICMP Broadcast 扫描
(5)ICMP Non-Echo 扫描
即使对 ICMP 回应报⽂进⾏阻拦和过滤,我们还可以⽤ non-Echo ICMP 协议来收集系统的其他信息。例如 ICMP 类型为 13(时间戳)可以请求获取系统的当前时间,还有 ICMP 类型为 17(⼦⽹掩码请求)是⽤于⽆盘系统来获取它引导程序时的⼦⽹掩码。我们可以使⽤它来请求⼀个特定设备的⼦⽹掩码。
(6)防⽕墙和⽹络过滤设备的存在常常导致传统的探测⼿段变得⽆效,为了突破这种限制有以下 5 种⽅式绕过防⽕墙和⽹络过滤设备:
①异常的 IP 包头
向⽬标主机发送包头错误的 IP 包,⽬标主机或过滤设备会反馈 ICMP Parameter Problem Error 信息,可⽤来确定⽬标主机的操作系统。常见的伪造错误字段为 Header Length Field 和 IP Options Field。
②在 IP 头中设置⽆效的字段值
向⽬标主机发送的 IP 包中填充错误的字段值,⽬标主机或过滤设备会反馈 ICMP Destination Unreachable 信息,可获取IP头部信息。
③错误的数据分⽚
当⽬标主机接收到错误的数据分⽚,并且在规定的时间间隔内得不到更正时,将丢弃这些错误数据包,并向发送主机反馈 ICMP Fragment Reassembly Time Exceeded 错误报⽂。
④通过超长包探测内部路由器
若构造的数据包长度超过⽬标系统所在路由器的 PMTU 且设置禁⽌分⽚标志,该路由器会反馈 Fragmentation Needed and Don’t Fragment Bit was Set 差错报⽂,从⽽获取⽬标系统的⽹络拓扑结构。
⑤反向映射探测
该技术⽤于探测被过滤设备和防⽕墙保护的⽹络和主机,构造可能的内部 IP 地址列表,并向这些地址发送数据包,对对⽅路由器进⾏ IP 识别并路由,或根据是否返回错误报⽂来进⾏探测。
5.2.2.2.2 端⼝扫描
端⼝扫描技术是对主机状态的详细信息进⾏探测的技术。有开放扫描,会产⽣⼤量审计数据,容易被对⽅发现,但其可靠性较⾼;隐蔽扫描,能有效避免对⽅⼊侵检测系统和防⽕墙的检测,但这种扫描使⽤的数据包在通过⽹络时容易被丢弃,从⽽产⽣错误的探测信息;半开放检测,其隐蔽性和可靠性介于前两者之间。下⾯对端⼝扫描技术进⾏详细介绍:
(1)开放扫描
① TCP Connect 扫描
这种扫描⽅式可以使⽤ Connect()调⽤,使⽤最基本的 TCP 三次握⼿链接建⽴机制,建⽴⼀个链接到⽬标主机的特定端⼝上。⾸先发送⼀个SYN 数据包到⽬标主机的特定端⼝上,接着我们可以通过接收包的情况对端⼝的状态进⾏判断:如果接收到的是⼀个 SYN/ACK 数据包,则说明端⼝是开放状态的;如果接收到的是⼀个 RST/ACK 数据包,通常意味着端⼝是关闭的并且链接将会被重置;⽽如果⽬标主机没有任何响应则意味着⽬标主机的端⼝处于过滤状态。
若接收到 SYN/ACK 数据包(即检测到端⼝是开启的),便发送⼀个 ACK 确认包到⽬标主机,这样便完成了三次握⼿连接机制。成功后再终⽌连接。如图 5-15 所⽰:
图 5-15 TCP Connect 扫描
TCP Connect 扫描⽅式的优点是稳定可靠,不需要特殊的权限。但扫描⽅式不隐蔽,服务器⽇志会纪录下⼤量密集的连接和错误记录,并容易被防⽕墙发现和屏蔽。
② TCP 反向 ident 扫描
TCP 反向 ident 扫描主要是利⽤ TCP 的认证协议 ident 的漏洞。TCP 的认证协议是⽤来确定通过 113 端⼝实现 TCP 链接的主机的⽤户名。这需要建⽴⼀个到⽬标端⼝的完整的 TCP 链接,这也是其缺点。
③ UDP 扫描
UDP 是⼀个⽆链接的协议,当我们向⽬标主机的 UDP 端⼝发送数据,我们并不能收到⼀个开放端⼝的确认信息,或是关闭端⼝的错误信息。可是,在⼤多数情况下,当向⼀个未开放的 UDP 端⼝发送数据时,其主机就会返回⼀个 ICMP 不可到达(ICMP_PORT_UNREACHABLE)的错误,因此⼤多数 UDP 端⼝扫描的⽅法就是向各个被扫描的 UDP 端⼝发送零字节的 UDP 数据包,如果收到⼀个 ICMP 不可到达的回应,那么则认为这个端⼝是关闭的,对于没有回应的端⼝则认为是开放的,但是如果⽬标主机安装有防⽕墙或其它可以过滤数据包的软硬件,那我们发出 UDP 数据包后,将可能得不到任何回应,我们将会见到所有的被扫描端⼝都是开放的。如图 5-16 所⽰:
图 5-16 UDP 扫描
其缺点是,UDP 是不可靠的,UDP 数据包和 ICMP 错误报⽂都不保证到达;且 ICMP 错误消息发送效率是有限的,故⽽扫描缓慢;还有就是⾮超级⽤户⽆法直接读取端⼝访问错误。
(2)半开放扫描
① TCP SYN 扫描
与 TCP Connect 扫描不同,TCP SYN 扫描并不需要打开⼀个完整的链接。发送⼀个 SYN 包启动三⽅握⼿链接机制,并等待响应。如果我们接收到⼀个 SYN/ACK 包表⽰⽬标端⼝是开放的;如果接收到⼀个 RST/ACK 包表明⽬标端⼝是关闭的;如果端⼝是被过滤的状态则没有
响应。当得到的是⼀个 SYN/ACK 包时通过发送⼀个 RST 包⽴即拆除连接。如图 5-17 所⽰:
图 5-17 TCP/SYN 扫描
TCP/SYN 扫描的优点是隐蔽性较全连接扫描好,因为很多系统对这种半扫描很少记录。缺点是构建 SYN 报⽂需要超级⽤户权限,且⽹络防护设备会有记录。
②TCP 间接扫描
TCP 间接扫描就是伪造第三⽅源 IP 发起 SYN 扫描。在实施前要求扫描主机必须能监听到跳板主机的通信流量,且⼴域⽹上的路由器必须允许伪造源 IP 地址。⾸先扫描主机伪造源 IP 地址向⽬标端⼝发送 SYN 包,若端⼝是开启的则会发送响应 SYN/ACK 包到其伪造的源 IP 地址主机,这是扫描主机会监听到该响应包,并继续伪造源 IP 地址发送 RST 包拆除连接。如图 5-18 所⽰:
图 5-18 TCP 间接扫描
其优点是隐蔽性好,缺点是对跳板主机的要求较⾼,⼴域⽹中受制于路由器的包顾虑原则。
(3)隐蔽扫描
① TCP FIN 扫描
仅发送 FIN 包,它可以直接通过防⽕墙,如果端⼝是关闭的就会回复⼀个 RST 包,如果端⼝是开放或过滤状态则对 FIN 包没有任何响应。如图 5-19 所⽰。
其优点是 FIN 数据包能够通过只监测 SYN 包的包过滤器,且隐蔽性⾼于 SYN 扫描。缺点和 SYN 扫描类似,需要⾃⼰构造数据包,要求由超级⽤户或者授权⽤户访问专门的系统调⽤。
图 5-19 FIN 扫描
② TCP Xmas 扫描
Xmas 发送⼀个 TCP 包,并对 TCP 报⽂头 FIN、URG 和 PUSH 标记进⾏设置。若是关闭的端⼝则响应 RST 报⽂;开放或过滤状态下的端⼝则⽆任何响应。如图 5-20 所⽰。优点是隐蔽性好,缺点是需要⾃⼰构造数据包,要求拥有超级⽤户或者授权⽤户权限。
图 5-20 TCP Xmas 扫描
③ TCP Null 扫描
发送⼀个 TCP 数据包,关闭所有 TCP 报⽂头标记。只有关闭的端⼝会发送 RST 响应。其优点和 Xmas ⼀样是隐蔽性好,缺点也是需要⾃⼰构造数据包,要求拥有超级⽤户或者授权⽤户权限。如图 5-21 所⽰:
图 5-21 TCP Null 扫描
④分段扫描
将⼀个完整的 TCP 报⽂分割封装到 2 个或多个 IP 报⽂,分别独⽴发送。同样只有关闭的端⼝响应。优点是隐蔽性好,可穿越防⽕墙,缺点是可能被丢弃,某些程序在处理这些⼩数据包时会出现异常。
⑤ ACK 扫描
构造并发送 ACK 报⽂,包过滤防⽕墙会检查 TCP 会话状态列表,若发现⽆匹配会话则有可能返回 RST 报⽂,正常主机的关闭端⼝则不会响应该报⽂。优点是可探测⽬标主机的包过滤规则。缺点是可能会被丢弃,且不能⽤于判断端⼝是否开放。原理如图 5-22 所⽰:
图 5-22 ACK 扫描
⑥ IDLE 扫描
IDLE 扫描的实施前提是(1)跳板主机处于⽹络空闲状态;(2)跳板主机的 IP 序列号产⽣规则是连续递增的;(3)⼴域⽹上的路由器必须允许伪造源 IP 地址。
IDLE 扫描是基于 IP 报头的 Identification 字段。其原理是扫描主机向跳板主机发送⼀些探测的 SYN 数据报(⼀般 10 个左右),以获得跳板主机的 ID 变化规律,并记下初始的 ID;接着,扫描主机以跳板主机的地址向⽬标主机的端⼝发送正真的扫描⽂件(SYN 包)。如果⽬标主机的端⼝开放,便会向跳板主机返回 SYN/ACK 数据包;如果⽬标主机的端⼝关闭,则向跳板主机返回 RST 数据包。由于跳板主机没有向⽬标主机发送过 SYN 报⽂,所以当跳板主机收到⽬标主机的报⽂时,如果是 SYN/ACK,则回应⼀个 RST,如果是 RST,则什么也不做,仅仅丢弃它。最后,扫描主机会向跳板主机发送探测 SYN
包,以获得的扫描之后的 ID。同初始 ID ⽐较,如果变化明显,则可认为⽬标端⼝是开放的,如此反复,便可得知⽬标端⼝的信息。如图 5-23 所⽰:
图 5-23 IDLE 扫描
优点是相⽐较于 TCP 间接扫描,⽆需监听跳板主机的通信流量,且⽬标主机很难发现真正的扫描源,扫描隐蔽性⾼,缺点是对跳板主机的要求较多。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论