Nmap端口扫描指南之Idle Scan

TCP Idle Scan (-sI)
1998年，安全研究员Antirez（曾参与编辑nmap中有关hping2工具的相关文章）在Bugtraq邮件列表中发布了一篇关于新的端口扫描技术的文章。Idle
Scan，也就慢慢的为众人所了解，它允许进行完全盲目的端口扫描。事实上，攻击者可以不用向目标发送数据包就完成扫描工作！相反，用猥琐的边信道攻击是能够让扫描映射到一个Zombie主机上的。除了极其隐蔽的情况，这种扫描方式允许挖掘机器之间基于IP的信任关系。

虽然idle 扫描方式比其他方式复杂许多，但是你不必对TCP/IP理解得像专家一样。孩纸你只需要知道这些就够了：

1.确认TCP端口已经打开，并且向这个端口发送一个SYN（建立了会话）包。如果端口是开放的，目标机器会返回一个SYN/ACK包响应。如果端口没开放，那我们只有另辟蹊径咯。这是前面讨论的SYN扫描的基础哟~

2.机器接受一个未经请求的SYN/ACK包会返回RST，一个未经请求的RST会被忽略。

3.任何数据包在互联网上都有一个片段标识号（IP ID），当数据包发送的时候，许多操作系统只是简单的增加了数字，未做其他处理。所以攻击者只需要探究IPID就可以知道最终发送了多少个包。

结合以上特征，就可以伪造身份去扫描目标网络，所以看起来就像是无辜的Zombie主机在扫描。

Idle Scan Step by Step

从本质上来看，Idle Scan只需要重复3个步骤就ok了。

1.探查Zombie的IP ID并记录下来。

2.在Zombie主机上伪造一个包，然后把包发送给目标主机端口。根据端口的状态，目标主机可能会也有可能不会导致Zombie主机IPID值增加。

3.再探查Zombie主机的IP ID。比较两次得到IPID值

经过这样一个流程，Zombie主机的IPID应该会增加1~2。如果只是增加了1，那么就可以说明Zombie主机还没有发出任何包，当然，响应攻击者的探查请求除外。没有发送包也就意味着目标端口没有被打开（也可能是目标主机向Zombie主机发送了一个RST包，导致请求被忽略，或者是根本就是什么都没有做）。增加的如果是2，那就表明Zombie主机成功在两个探测器之间发送了包。这种情况一般情况都意味着目标端口是开着的（目标大概会向Zombie主机发送一个SYN/ACK包去响应攻击者伪造的SYN，从Zombie主机诱导RST包）。如果是增加了一个比2还大的数字，那么就说明Zombie主机太糟糕了！它可能不能胜任预测IPID数值，也可能是正在忙于其他与Idle Scan无关的事情。

虽然关闭了端口和被过滤的端口会发生的事情稍微有点点不同，但是攻击者处理的方法都一样，IPID都只是增加1。所以，在Idel Scan中无法区别端口到底是关闭的还是已经过滤了。当Nmap记录的IPID增加了1，也就被标记成了close丨filterred。

对于那些想知道更多细节的朋友，以下三张图大略可以说明端口被打开，关闭，过滤的情况。

the attacker, the zombie, and the target.

端口开放

端口关闭

端口被过滤

Idel Scan根本上来讲就是一个隐性扫描，Nmap提供了decoy scanning (-D)，帮助使用者保护自己的身份。如果不是使用的（类似Idel Scan扫描方式）仍然需要攻击者通过自身真实IP向目标发送数据包以获取扫描结果。Idel Scan扫描结果其中之一就有入侵检测系统通常会发送一个Zombie主机已经开始扫描的通知。所以它可以作为一个框架去扫描另外一个目标，当你查阅入侵检测系统（IDS）时，请记住这种可能性。

Idel Scan的一个独特优势便是，它可以绕开某些过滤防火墙和路由器。IP源地址过滤，是一种常见的（虽然很弱）用于限制机器连接到敏感主机或者说网络上的安全机制。举个例子，一个公司数据库服务器，只允许公共网络连接。或者，家庭用户只允许SSH连接到工作机上面。

一个令人恐惧的场景，当公司高管需要网管打开一个防火墙突破口，让他可以在家中访问内部网络资源，当哪些高管无意或者是不会使用安全的VPN进行替代的时候就会发生这种情况。

Idel Scanning有时也可以被用来映射信任关系，关键在于Idel