全连接:建立完整的三次握手;
隐蔽 只发送syn包 你给我会ack 看是否有rst就知道端口是否开放
伪造地址ip可能很少
僵尸扫描 扫描发起者 和目标服务器之间必须是发起者可以伪造ip地址的网络环境 才有可能去实施
必须拥有一个僵尸机:闲置的系统 其实主要是因为如果存在其他的ip通信 会导致ipid不能判断 理论上不能发现
扫描目的 就是判断目标端口是否是开放的 哪个端口是开放的
全连接:建立完整的三次握手;
隐蔽 只发送syn包 你给我会ack 看是否有rst就知道端口是否开放
伪造地址ip可能很少
僵尸扫描 扫描发起者 和目标服务器之间必须是发起者可以伪造ip地址的网络环境 才有可能去实施
必须拥有一个僵尸机:闲置的系统 其实主要是因为如果存在其他的ip通信 会导致ipid不能判断 理论上不能发现
扫描目的 就是判断目标端口是否是开放的 哪个端口是开放的
隐蔽扫描——syn
·不建立完整连接
·应用日志不记录扫描行为——隐蔽 //网络层还是有一些迹象的
僵尸扫描
·极度隐蔽
·实施条件苛刻
·可伪造源地址
·选择僵尸机
·闲置系统
·系统使用递增的IPID
·0
·随机
注:1.发起者必须能伪造IP地址 2.僵尸机必须是闲置的
Syn扫描应用层无记录、网络层有记录。
僵尸扫描发起者要能够伪造源地址,然后使用僵尸机的地址发送包。要求僵尸机要足够闲置(无通信),不然IPID就不会顺序递增。