自己对于TCP空闲扫描的一些理解

最近在研究这个东西，受TCP空闲扫描原理_zkwniky的博客-CSDN博客启发，自己画了点图片进行理解，有缘人看出错误之处还望指正。

首先需要理解普通的端口扫描原理（以下三次握手的解释来自(39条消息) 网络 卧槽！牛皮了，面试官居然把TCP三次握手四次挥手问的这么详细_WhiteShirtI的博客-CSDN博客）：

基于tcp三次握手原理，服务端新建套接字，绑定地址信息后开始监听，进入LISTEN状态。客户端新建套接字绑定地址信息后调用connect，发送连接请求SYN，并进入SYN_SENT状态，等待服务器的确认。服务端一旦监听到连接请求，就会将连接放入内核等待队列中，并向客户端发送SYN和确认报文段ACK，进入SYN_RECD状态。客户端收到SYN+ACK报文后向服务端发送确认报文段ACK，并进入ESTABLISHED状态，开始读写数据。服务端一旦收到客户端的确认报文，就进入ESTABLISHED状态，就可以进行读写数据了

普通的扫描，就是向目标机器发送SYN包，

如果对应端口是开放的，那么目标会返回一个SYN/ACK包

如果对应端口不开放，那么目标则会返回一个RST包，强制关闭连接

通过目标返回的包类型确定端口状态

而TCP空闲扫描，实际上说白了也离不开这个模式，但是需要多了解一个背景知识。

背景知识：互联网上的每个IP数据包都有一个分段身份识别号（IP ID）。许多操作系统只是简单的把该识别号递增，因此分析最后一次的IPID就可以告诉攻击者已经此主机发送了多少数据包。我个人理解为主动发送一个包，IPID+1。

下面用图来模拟流程（黑为攻击机，白为靶机，绿为被利用的空闲主机）：

因为绿色主机没有发送SYN包却收到SYN/ACK包，所以发送RST包

黑色主机给白色主机发送SYN 包，但是ip字段是绿色主机的ip地址

 现在假设端口是开放的：

 此时绿白通信结束后IPID+1，黑绿再一次联系之后IPID总值+2，此为端口开放的情况。

端口不开放：

此后黑绿再次通信，IPID总值+1，这是端口没开启的情况。

 此后，黑色主机根据绿色主机的IPID偏移情况（增值多少），判断白色主机的端口开关闭情况，完成tcp空闲扫描。