21(1)，附答案

TCP报文分为头部和数据两部分，其中头部包含以下字段：

• 源端口（Source Port）：占用2个字节，表示发送端使用的端口号，范围是0-65535。
• 目的端口（Destination Port）：占用2个字节，表示接收端使用的端口号，范围是0-65535。
• 序列号（Sequence Number）：占用4个字节，表示数据段中第一个字节的序号。TCP协议中采用序号对数据进行分段，从而实现可靠传输。
• 确认号（Acknowledgement Number）：占用4个字节，表示期望收到的下一个字节的序号。TCP协议中采用确认号对接收到的数据进行确认，从而实现可靠传输。
• 数据偏移（Data Offset）：占用4个位，表示TCP头部的长度。由于TCP头部长度是可变的，该字段用于指示数据段从哪里开始。
• 保留位（Reserved）：占用6个位，保留用于将来的扩展。
• 控制位（Flags）：占用6个位，共有6个标志位，分别为URG、ACK、PSH、RST、SYN和FIN。其中，URG、ACK、PSH和RST标志的长度均为1位，SYN和FIN标志的长度为1位。
• 窗口大小（Window Size）：占用2个字节，表示发送方可接受的字节数量，用于流量控制。
• 校验和（Checksum）：占用2个字节，用于检验数据的完整性。
• 紧急指针（Urgent Pointer）：占用2个字节，表示该报文的紧急数据在数据段中的偏移量。
• 选项（Options）：可变长度，用于协商TCP参数，如最大报文长度、时间戳等。

对于端口扫描来说我们需要重点关注控制位中所提到的6个标志位，这些标志是我们实现扫描的关键，如下是这些标志位的说明；

• URG：紧急指针标志位，当URG=1时，表明紧急指针字段有效。它告诉系统中有紧急数据，应当尽快传送，这时不会按照原来的排队序列来传送，而会将紧急数据插入到本报文段数据的最前面。
• ACK：当ACK=1时，我们的确认序列号ack才有效，当ACK=0时，确认序号ack无效，在TCP协议中规定所有建立连接的ACK必须全部置为1。
• PSH：当该标志位被设置时，表示TCP数据包需要立即发送给接收方，而无需等待缓冲区填满。这个操作被称为推送操作，即将缓冲区的数据立即推送给接收方。
• RST：当RST=1时，表明TCP连接出现严重错误，此时必须释放连接，之后重新连接，该标志又叫重置位。
• SYN：同步序列号标志位，tcp三次握手中，第一次会将SYN=1,ACK=0，此时表示这是一个连接请求报文段，对方会将SYN=1,ACK=1，表示同意连接，连接完成之后将SYN=0。
• FIN：在tcp四次挥手时第一次将FIN=1，表示此报文段的发送方数据已经发送完毕，这是一个释放链接的标志。

接着我们来具体看一下在TCP/IP协议中，TCP是如何采用三次握手四次挥手实现数据包的通信功能的，如下是一个简单的通信流程图；

（1） 第一次握手：建立连接时，客户端A发送SYN包(SYN=j)到服务器B，以及初始序号X，保存在包头的序列号(Sequence Number)字段里，并进入SYN_SEND状态，等待服务器B确认。

（2）第二次握手：服务器B收到SYN包，必须确认客户A的SYN(ACK=j+1)，同时自己也发送一个SYN包(SYN=k)，即SYN+ACK包，此时服务器B进入SYN_RECV状态。

（3） 第三次握手：客户端A收到服务器B的SYN＋ACK包，向服务器B发送确认包ACK(ACK=k+1)，此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。至此服务端与客户端之间就可以传输数据了。

21.2.2 ICMP构建与发送

首先我们先来构建并实现一个ICMP数据包，在之前的文章中笔者已经通过C语言实现了数据包的构建，当然使用C语言构建数据包是一件非常繁琐的实现，通过运用Scapy则可以使数据包的构建变得很容易，ICMP数据包上层是IP头部，所以在构造数据包时应先构造IP包头，然后再构造ICMP包头，如下我们先使用ls(IP)查询一下IP包头的结构定义，然后再分别构造参数。

from scapy.all import *
from random import randint
import time

uuid = randint(1,65534)
ls(IP) # 查询IP头部定义
version : BitField (4 bits) = (4)
ihl : BitField (4 bits) = (None)
tos : XByteField = (0)
len : ShortField = (None)
id : ShortField = (1)
flags : FlagsField (3 bits) = (<Flag 0 ()>)
frag : BitField (13 bits) = (0)
ttl : ByteField = (64)
proto : ByteEnumField = (0)
chksum : XShortField = (None)
src : SourceIPField = (None)
dst : DestIPField = (None)
options : PacketListField = ([])

ip_header = IP(dst=“192.168.1.1”,ttl=64,id=uuid) # 构造IP数据包头
ip_header.show() # 输出构造好的包头
###[ IP ]###
version = 4
ihl = None
tos = 0x0
len = None
id = 64541
flags =
frag = 0
ttl = 64
proto = ip
chksum = None
src = 192.168.1.101
dst = 192.168.1.1
\options \

ip_header.summary()
‘192.168.1.101 > 192.168.1.1 ip’

上述代码中我们已经构造了一个IP包头，接着我们还需要构造一个ICMP包头，该包头的构造可以使用ICMP()并传入两个参数，如下则是构造好的一个ICMP包头。

ICMP()
<ICMP |>

icmp_header = ICMP(id=uuid, seq=uuid)

icmp_header
<ICMP id=0xfc1d seq=0xfc1d |>
icmp_header.show()
###[ ICMP ]###
type = echo-request
code = 0
chksum = None
id = 0xfc1d
seq = 0xfc1d

接着我们需要将上述两个包头粘贴在一起，通过使用/将来给你这进行拼接，并在icmp_header后面增加我们所有发送的数据包字符串，最终将构造好的数据包存储至packet变量内，此时输入packet.summary()即可查看构造的数据包字符串。

packet = ip_header / icmp_header / “hello lyshark”

packet
<IP id=64541 frag=0 ttl=64 proto=icmp dst=192.168.1.1 |<ICMP id=0xfc1d seq=0xfc1d |<Raw load=‘hello lyshark’ |>>>

packet.summary()
‘IP / ICMP 192.168.1.101 > 192.168.1.1 echo-request 0 / Raw’

当我们构造好一个数据包后，下一步则是需要将该数据包发送出去，对于发送数据包Scapy中提供了多种发送函数，如下则是不同的几种发包方式，当我们呢最常用的还是sr1()该函数用于发送数据包并只接受回显数据。

• send(pkt)：发送三层数据包，但不会受到返回的结果
• sr(pkt)：发送三层数据包，返回两个结果，分别是接收到响应的数据包和未收到响应的数据包
• sr1(pkt)：发送三层数据包，仅仅返回接收到响应的数据包
• sendp(pkt)：发送二层数据包
• srp(pkt)：发送二层数据包，并等待响应
• srp1(pkt)：发送第二层数据包，并返回响应的数据包

此处我们就以sr1()函数作为演示目标，通过构造数据包并调用sr1()将该数据包发送出去，并等待返回响应数据到respon变量内，此时通过对该变量进行解析即可得到当前ICMP的状态。

respon = sr1(packet,timeout=3,verbose=0)
respon
<IP version=4 ihl=5 tos=0x0 len=41 id=26086 flags= frag=0 ttl=64 proto=icmp chksum=0x9137 src=192.168.1.1 dst=192.168.1.101 |<ICMP type=echo-reply code=0 chksum=0x177d id=0xfc1d seq=0xfc1d |<Raw load=‘hello lyshark’ |<Padding load=‘\x00\x00\x00\x00\x00’ |>>>>

respon[IP].src
‘192.168.1.1’

respon[IP].ttl
64
respon.fields
{‘options’: [], ‘version’: 4, ‘ihl’: 5, ‘tos’: 0, ‘len’: 41, ‘id’: 26086, ‘flags’: <Flag 0 ()>, ‘frag’: 0, ‘ttl’: 64, ‘proto’: 1, ‘chksum’: 37175, ‘src’: ‘192.168.1.1’, ‘dst’: ‘192.168.1.101’}

上述流程就是一个简单的ICMP的探测过程，我们可以将这段代码进行组合封装实现ICMP_Ping函数，该函数只需要传入一个IP地址即可返回特定地址是否在线，同时我们使用ipaddress.ip_network则可生成一整个C段中的地址信息，并配合threading启用多线程，则可实现一个简单的主机存活探测工具，完整代码如下所示；

from scapy.all import *
from random import randint
import time,ipaddress,threading
import argparse
import logging

def ICMP_Ping(addr):
RandomID=randint(1,65534)
packet = IP(dst=addr, ttl=64, id=RandomID) / ICMP(id=RandomID, seq=RandomID) / “hello lyshark”
respon = sr1(packet,timeout=3,verbose=0)
if respon:
print(“[+] 存活地址: {}”.format(str(respon[IP].src)))

if name== “__main__”:
logging.getLogger(“scapy.runtime”).setLevel(logging.ERROR)
#net = ipaddress.ip_network(“192.168.1.0/24”)
parser = argparse.ArgumentParser()
parser.add_argument(“-a”,“–addr”,dest=“addr”,help=“指定一个IP地址或范围”)
args = parser.parse_args()
if args.addr:
net = ipaddress.ip_network(str(args.addr))
for item in net:
t = threading.Thread(target=ICMP_Ping,args=(str(item),))
t.start()
else:
parser.print_help()

读者可自行运行上述程序片段，并传入main.py -a 192.168.9.0/24表示扫描整个C段，并输出存活主机列表，其中logging模块则用于指定只有错误提示才会输出，其他的警告忽略。扫描结果如下图所示；

接着我们继续实现路由追踪功能，跟踪路由原理是IP路由每经过一个路由节点TTL值会减一，假设TTL值为0时数据包还没有到达目标主机，那么该路由则会回复给目标主机一个数据包不可达，由此我们就可以获取到目标主机的IP地址，我们首先构造一个数据包，并设置TTL值为1，将该数据包发送出去即可看到回显主机的IP信息。

from scapy.all import *
from random import randint
import time

RandomID=randint(1,65534)
packet = IP(dst=“104.193.88.77”, ttl=1, id=RandomID) / ICMP(id=RandomID, seq=RandomID) / “hello”
respon = sr1(packet,timeout=3,verbose=0)

respon
<IP version=4 ihl=5 tos=0xc0 len=61 id=14866 flags= frag=0 ttl=64 proto=icmp chksum=0xbc9a src=192.168.1.1 dst=192.168.1.2 |<ICMP type=time-exceeded code=ttl-zero-during-transit chksum=0xf4ff reserved=0 length=0 unused=None |<IPerror version=4 ihl=5 tos=0x0 len=33 id=49588 flags= frag=0 ttl=1 proto=icmp chksum=0x4f79 src=192.168.1.2 dst=104.193.88.77 |<ICMPerror type=echo-request code=0 chksum=0x30c4 id=0xc1b4 seq=0xc1b4 |<Raw load=‘hello’ |>>>>>

关于如何实现路由跟踪，具体来说一开始发送一个TTL为1的数据包，这样到达第一个路由器的时候就已经超时了，第一个路由器就会返回一个ICMP通知，该通知包含了对端的IP地址，这样就能够记录下所经过的第一个路由器的地址。接着将TTL值加1，让其能够安全的通过第一个路由器，而第二个路由器的的处理过程会自动丢包，发通包超时通知，这样记录下第二个路由器IP，由此能够一直进行下去，直到这个数据包到达目标主机，由此打印出全部经过的路由器。

将上述跟踪过程自动化，就可以完成数据包的跟踪，其Python代码如下所示。

from scapy.all import *
from random import randint
import time,ipaddress,threading
from optparse import OptionParser
import logging

def TraceRouteTTL(addr):

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算