最近在研究这个东西,受TCP空闲扫描原理_zkwniky的博客-CSDN博客启发,自己画了点图片进行理解,有缘人看出错误之处还望指正。
首先需要理解普通的端口扫描原理(以下三次握手的解释来自(39条消息) 网络 卧槽!牛皮了,面试官居然把TCP三次握手四次挥手问的这么详细_WhiteShirtI的博客-CSDN博客):
基于tcp三次握手原理,服务端新建套接字,绑定地址信息后开始监听,进入LISTEN状态。客户端新建套接字绑定地址信息后调用connect,发送连接请求SYN,并进入SYN_SENT状态,等待服务器的确认。服务端一旦监听到连接请求,就会将连接放入内核等待队列中,并向客户端发送SYN和确认报文段ACK,进入SYN_RECD状态。客户端收到SYN+ACK报文后向服务端发送确认报文段ACK,并进入ESTABLISHED状态,开始读写数据。服务端一旦收到客户端的确认报文,就进入ESTABLISHED状态,就可以进行读写数据了
普通的扫描,就是向目标机器发送SYN包,
如果对应端口是开放的,那么目标会返回一个SYN/ACK包
如果对应端口不开放,那么目标则会返回一个RST包,强制关闭连接
通过目标返回的包类型确定端口状态
而TCP空闲扫描,实际上说白了也离不开这个模式,但是需要多了解一个背景知识。
背景知识:互联网上的每个IP数据包都有一个分段身份识别号(IP ID)。许多操作系统只是简单的把该识别号递增,因此分析最后一次的IPID就可以告诉攻击者已经此主机发送了多少数据包。我个人理解为主动发送一个包,IPID+1。
下面用图来模拟流程(黑为攻击机,白为靶机,绿为被利用的空闲主机):
因为绿色主机没有发送SYN包却收到SYN/ACK包,所以发送RST包
黑色主机给白色主机发送SYN 包,但是ip字段是绿色主机的ip地址
现在假设端口是开放的:
此时绿白通信结束后IPID+1,黑绿再一次联系之后IPID总值+2,此为端口开放的情况。
端口不开放:
此后黑绿再次通信,IPID总值+1,这是端口没开启的情况。
此后,黑色主机根据绿色主机的IPID偏移情况(增值多少),判断白色主机的端口开关闭情况,完成tcp空闲扫描。