@贝壳儿
2年前 提问
1个回答

常见的秘密扫描主要有哪四种

齐士忠
2年前

常见的秘密扫描主要有以下四种:

  • TCP FIN扫描:使用FIN数据包来探听端口。由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来。当一个FIN数据包到达一个关闭的端口时,数据包会被丢掉并会返回一个RST数据包;否则,当一个FIN数据包到达一个打开的端口时,数据包只是被简单地丢掉而不返回RST。这种方法在区分UNIX和NT操作系统时十分有用。

  • TCP ACK扫描:扫描主机向目标主机发送ACK数据包。根据返回的RST数据包,推断端口信息。若返回的RST数据包的TTL值小于或等于64,则端口开放,反之,则端口关闭。

  • TCP NULL扫描:根据RFC 793[1]的要求,将一个没有设置任何标志位的数据包发送给TCP端口,在正常的通信中至少要设置一个标志位;根据RFC 793的要求,在端口关闭的情况下,若收到一个没有设置标志位的数据字段,那么主机应该舍弃这个分段,并发送一个RST数据包,否则不会响应发起扫描的客户端计算机。也就是说,如果TCP端口处于关闭,则响应一个RST数据包,若处于开放则无响应。NULL扫描要求所有的主机都符合RFC 793规定。

  • Xmas Tree扫描:根据RFC 793的要求,程序往目标端口发送一个FIN(结束)、URG(紧急)和PSH(弹出)标志的分组,若其关闭,应该返回一个RST分组。