端口扫描

• 端口对应网络服务及应用端程序
• 服务端程序的漏洞通过端口攻入
• 发现开放的端口
• 更具体的攻击面

UDP端口扫描

• 假设ICMP port-unreachable 响应代表端口关闭

  • 目标系统不响应ICMP port-unreachable时，可能产生误判

• Scapy UDP Scan脚本

  • 端口关闭：unreachable
  • 端口开放：没有回包
  • 了解每一种基于UDP的应用层包结构很有帮助
  • 与三层相同的技术
  • 误判

• nmap -sU x.x.x.x 常见1000端口

• nmap -sU x.x.x.x -p xx 指定端口

TCP端口扫描

• 基于连接的协议
• 三次握手
• 隐蔽扫描（不建立握手）
• 僵尸扫描
• 全连接扫描
• 所有的TCP扫描方式都是基于三次握手的变化来判断目标端口状态

隐蔽扫描——SYN

• 不建立完整连接
• 应用日志不记录扫描行为——隐蔽

僵尸扫描

• 极度隐蔽
• 实时条件苛刻
• 必须可伪造源IP地址
• 僵尸机条件：
  • 必须是闲置系统
  • 系统使用递增的IPID（IP包头的id字段）
    • 0
    • 随机