隐蔽端口扫描 —— 实验
工具:scapy
-
扫描开放端口22
a=sr1(IP(dst="172.16.2.65")/TCP(flags="S", dport=22), timeout=1, verbose=0)
-
启用wireshark抓包,如下图所示.
-
这里需要说明第三个TCP包返回[RST]是由操作系统内核给出的。
-
第一步scapy工具给出[SYN]包,第二步返回[SYN,ACK]包,但操作系统内核没有检测到第一步,直接收到了第二步返回的包,在操作系统内核看来这是莫名其妙没来由的[SYN,ACK],所以由操作系统内核返回[RST]
-
扫描关闭端口35555
a=sr1(IP(dst="172.16.2.65")/TCP(flags="S", dport=35555), timeout=1, verbose= 0)
-
wireshark 抓包
机器活着,但目标端口不开放。 -
可以通过修改防火墙规则限制操作系统内核自动回复[RST]包
iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 目标IP -j DROP