僵尸扫描过程详解

僵尸扫描简介

僵尸扫描其实是信息收集的一种手段，它是信息收集环节的端口扫描阶段，但是常见的端口扫描过程往往会在网络层被发现痕迹，导致没有达到预期的隐藏目的，僵尸扫描却能有效的隐藏自己的踪迹

第一步——进行僵尸扫描的条件

（1）选择合格的僵尸机：一个足够闲置 ，并且不和除了我们之外的任何其他机器进行网络通信的主机；它的IPID必须是递增的，0和随机都不可以。然而现在大部分主流的OS的IPID都是随机产生的，但是早期的xp，比如xp200，xp2003都是递增的IPID。
（2）可伪造源IP地址，但是在某些网络设备中防火墙会限制伪造的源地址，导致扫描失败。

第二步——进行僵尸扫描

step1：
扫描者主机向僵尸机发一个SYN/ACK包（三次握手第二步），然后僵尸机
（假设此时僵尸机系统产生的IPID为x）回给扫描者主机一个RST（因为三次握手第一步未完成，不完整呀，所以要重来），此时扫描者主机得到了僵尸机的IPID。

step2：
开始信息收集啦！此时扫描者主机伪装成僵尸机的ip（IPID=x)向被攻击主机发送一个SYN包(三次握手第一步）。
（1）如果被攻击主机的端口开放，俩主机就可以交流了，所以被攻击主机向僵尸机回发一个SYN/ACK包（三次握手第二步，因为咱是伪装僵尸机和被攻击主机交流的）僵尸机收到SYN/ACK包很懵逼，因为它没给被攻击主机发三次握手第一步的SYN包，所以他要给被攻击主机发送一个RST，此时僵尸机的IPID加1（此时IPID=x+1）
（2）如果被攻击主机的端口未开放，被攻击主机看到扫描者主机伪装成僵尸机发送的SYN包很奇怪呀！我端口没开你和我交流啥呢，所以被攻击主机给僵尸机发送一个RST，僵尸机收到RST没有反应，所以僵尸机的IPID不变（IPID=x）

step3：
扫描者主机向僵尸机发送一个SYN/ACK包，僵尸机回复给扫描者主机RST（此时IPID加1）
（1）如果被攻击主机的端口开放，则僵尸机的IPID=x+2
（2）如果被攻击主机的端口未开放，则IPID=x+1