本文详细介绍了僵尸网络扫描的概念、实施条件和工作原理,强调了选择僵尸机的标准。通过Scapy库在Python中实现扫描过程,演示了如何判断目标主机端口是否开放。同时,使用nmap的内置脚本验证僵尸机的IPID递增特性,并进行端口扫描。实验环境包括Kali Linux、Windows XP和Windows XP(作为僵尸机)。
只是学习笔记
一、僵尸扫描
1、极度隐蔽;
2、实施条件苛刻;
3、扫描发起方和被扫描的目标服务器之间的网络必须实现地址伪造(现在的边界路由器大都加入了防地址伪造过滤的策略);
4、必须有一个僵尸机。
选择僵尸机的条件:
闲置系统
系统使用递增的IPID(如果目标系统的IPID永远是0或者是随机产生的,则僵尸扫描无法实现)。现在主流的Linux系统和新版Windows系统的IPID都是随机产生的,早期的XP、2003、2000的IPID都是顺序产生的)
二、扫描目的
控制僵尸机,通过僵尸机的IPID值判断被扫服务器上那些端口是开放的。
三、扫描原理
扫描过程:
1、Scanner(扫描者)向Zombie(僵尸机)发送一个SYN/ACK 数据包(在此之前,扫描者和僵尸机没有建立三次握手)
2、正常情况下,僵尸机向扫描者返回一个RST,RST包中会有一个IPID,假设为X
3、扫描者向目标主机发送一个SYN包,SYN包中伪造源IP地址为僵尸机的IP地址,所以在目标主机看来,SYN包是由僵尸机发给它的
4、如果目标主机的端口是开放状态,则目标主机向僵尸机发送SYN/ACK包
5、在僵尸机看来,它和目标主机之前并没有建立TCP连接,因此,僵尸机会向目标主机返回一个RST包,算上它上次向扫描者发的RST包,这是僵尸机发的第二个RST包,故RST包中的IPID值为X+1
6、此时,扫描者再向僵尸机发送一个SYN/ACK数据包,僵尸机一看,扫描者又向它无缘无故发送了一个SYN/ACK数据包,所以二话不说,直接向扫描者发出它的第三个RST包,此时IPID=X+2。
7、扫描者根据僵尸机发给它的RST包中的IPID值来判断目标端口的开放状态。如果目标端口开放,则IPID为X+2;否则为X+1。
在上述扫描过程中,如果僵尸机和其他主机之间产生数据包的传输,IPID就会递增,从而影响结果的准确性,这也就是为什么要求僵尸机必须足够空闲且IPID值递增的原因。即使最后被发现,暴露的也是僵尸机,不会透漏任何和扫描者有关的信息,在整个过程中,没有建立一次完整的三次握手,所以说该扫描方法及其隐蔽,但同时实施的条件也及其苛刻。
四、实验环境/靶机
实现僵尸扫描只能用nmap或者scapy来实现,目的是看,目标主机端口是否开放
Kali(攻击者):192.168.98.161
win xp(目标主机):192.168.98.131
Window XP(僵尸机):192.168.98.132
1、僵尸扫描——Scapy
1.1 测试端口开放
scapy
i=IP()
t=TCP()
rz=(i/t) # 定义向僵尸机发的数据包
rt=(i/t) # 定义向目标机器发的数据包
# 向僵尸机发
rz[IP].dst="192.168.98.132" # 僵尸机的IP
rz[TCP].port=445
rz[TCP].flags="SA"
# 向目标机发的
rt[IP].src="192.168.98.132" # 伪造源地址,这个IP是僵尸机的IP
rt[IP].dst="192.168.98.131" # 目标机的IP
rt[TCP].dport=135
rt[TCP].flags="S"
# 向僵尸机发两个包SA,看IPID
# 向目标机发一个
# 开始第一次发包
az1=sr1(rz)
at=sr1(rt,timeout=1) # 得不到回包的,所以只发1s
# 第二次发包
az2=sr1(rz)
az1
az2
试错
为啥是 +1?(后面发现搞错了,开放的端口应该是目标主机的 而不是僵尸机开放的端口的。
这里的目标主机是一台kali,所以设定的rt[TCP].dport=135(目标主机的端口是关闭的),后面改另一台xp为目标主机就可以了
发现问题:
是目标主机的端口要是开放的
>>> rz
最低0.47元/天 解锁文章
扫一扫
1531
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
