空掃描Idle Scanning是什么意思

這篇文章給大家分享的是有關(guān)空掃描Idle Scanning是什么意思的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

空掃描Idle Scanning

空掃描Idle Scanning是一種借助第三方實(shí)施的端口掃描技術(shù)，可以很好的隱蔽掃描主機(jī)本身。它的實(shí)現(xiàn)基于以下兩個(gè)TCP工作機(jī)制。

（1）在TCP三次握手階段，目標(biāo)主機(jī)接收到發(fā)起方的SYN的TCP包，會(huì)返回SYN+ACK的TCP包。發(fā)起方接受到后，如果發(fā)現(xiàn)不是自己發(fā)起的連接，會(huì)發(fā)送RST的TCP包，取消此次連接。

（2）主機(jī)發(fā)送的每個(gè)包中，IP層都包含一個(gè)ID字段，用來標(biāo)識(shí)發(fā)送的數(shù)據(jù)包。這個(gè)ID字段是一個(gè)整數(shù)值，大部分系統(tǒng)采用遞增數(shù)列進(jìn)行標(biāo)記。也就是說，每發(fā)送一個(gè)包，該值加一。

在實(shí)施Idle Scanning時(shí)，攻擊機(jī)先獲取網(wǎng)絡(luò)一個(gè)主機(jī)IP，向該主機(jī)發(fā)送給一個(gè)數(shù)據(jù)包，根據(jù)返回包，獲取該主機(jī)的IP層的ID值。然后，偽造該主機(jī)IP向目標(biāo)主機(jī)的特定端口發(fā)送SYN包。目標(biāo)主機(jī)收到后，返回響應(yīng)包。被偽造的主機(jī)接受到響應(yīng)包，發(fā)送RST包，取消該次連接請求。攻擊機(jī)再次向偽造的主機(jī)發(fā)送數(shù)據(jù)包，獲取IP層的ID值。如果兩次ID值差2，表示被偽造的主機(jī)發(fā)送過數(shù)據(jù)包，最大可能是向目標(biāo)主機(jī)發(fā)送過RST包。如果差1，說明被偽造的主機(jī)沒有發(fā)送任何包，這說明目標(biāo)主機(jī)特定端口沒有打開或者過濾了。

在Kali Linux中，通過發(fā)包工具h(yuǎn)ping，可以很輕松實(shí)現(xiàn)Idle Scanning。

PS：在掃描過程中，由于被偽造的主機(jī)可能因?yàn)槠渌壒拾l(fā)包，會(huì)影響探測結(jié)果，所以需要多次掃描，以判斷準(zhǔn)確性。

感謝各位的閱讀！關(guān)于“空掃描Idle Scanning是什么意思”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！