信息安全工具开发 任务讲解与实施（课中） 多类型扫描（SYN、NULL、FIN、XMAS）(PPT).pptx

知识点：多类型扫描;;;TCP SYN 扫描 ：若端口扫描没有完成一个完整的TCP连接，即在扫描主机和目标主机的一指定端口建立连接的时候，只完成前两次握手，在第三步时，扫描主机中断了本次连接， 使连接没有完全建立起来，所以这种端口扫描又称为“半连接扫描”，也称为“间接扫描”或“半开式扫描”（Half Open Scan）。 此种扫描方式的优点是不容易被发现，扫描速度也比较快。同时通过对MAC地址的判断，可以对一些路由器进行端口扫描，缺点是需要系统管理员的权限，不适合使用多线程技术。因为在实现过程中需要自己完成对应答数据报的查找、分析，使用多线程容易发生数据报的串位现象，也就是原来应该这个线程接收的数据报被另一个线程接收，接收后，这个数据报就会被丢弃，而等待线程只好在超时之后再发送一个SYN数据报，等待应答。这样，所用的时间反而会增加。;TCP NULL 扫描 ：TCP 空扫描设置TCP 的标志头为零，向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统也应该返回RST标志。所以如果返回一个RST数据包则表示这个端口是关闭的。;TCP FIN 扫描 : TCP FIN 扫描发送一个FIN （结束）位标志数据包，主动关闭连接，关闭的端口会回应一个设置了RST的连接复位数据报；而开放的端口则会对这种可疑的数据报不加理睬，将它丢弃。可以根据是否收到 RST数据报来判断对方的端口是否开放，如果返回RST 数据包则表示端口是关闭的。 这种扫描方式的特点是隐秘，不容易被发现。该方案有两个缺点：首先， 要判断对方端口是否开放必须等待超时，增加了探测时间，而且容易得出错误的结论；其次，一些系统并没有遵循规定，最典型的就是Microsoft公司所开发的操作系统。这些系统一旦收到这样的数据报，无论端口是否开放都会回应一个 RST连接复位数据报，这样一来，这种扫描方案对于这类操作系统是无效的。 ;TCP XMAS 扫描 ：这种方法向目标端口发送一个含有FIN（结束）、URG（紧急）和PUSH（弹出）标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。根据这一原理就可以判断哪些端口是开放的。;UDP Scan（UDP协议扫描）：在UDP扫描中，是往目标端口发送一个UDP分组。如果目标端口是以一个“ICMP port Unreachable”（ICMP端口不可到达）消息来作为响应的，那么该端口是关闭的。相反，如果没有收到这个消息那就可以推断该端口打开着。还有就是一些特殊的UDP回馈，比如SQL Server服务器，对其1434号端口发送“x02”或者“x03”就能够探测得到其连接端口。由于UDP是无连接的不可靠协议，因此这种技巧的准确性很大程度上取决于与网络及系统资源的使用率相关的多个因素。另外，当试图扫描一个大量应用分组过滤功能的设备时，UDP扫描将是一个非常缓慢的过程。如果要在互联网上执行UDP扫描，那么结果就是不可靠的。;高级ICMP扫描技术：Ping是利用ICMP协议实现的，高级的ICMP扫描技术主要利用ICMP协议最基本的用途--报错。根据网络协议，如果接收到的数据包协议项出现了错误，那么接收端将产生一个“Destination Unreachable”（目标主机不可达）ICMP的错误报文。这些错误报文不是主动发送的，而是由于错误，根据协议自动产生的。  注：有些主机比如AIX、HP/UX等，是不会发送ICMP的Unreachable数据包的。;高级ICMP扫描技术： 例如，可以向目标主机发送一个只有IP头的IP数据包，此时目标主机将返回“Destination Unreachable”的ICMP错误报文。如果向目标主机发送一个坏IP数据包，比如不正确的IP头长度，目标主机将返回“Parameter Problem”（参数有问题）的ICMP错误报文。 注意:如果是在目标主机前有一个防火墙或者一个其他的过滤装置， 可能过滤掉提出的要求，从而接收不到任何的回应。这时可以使用一个非常大的协议数字作为 IP头部的协议内容，而且这个协议数字至少在今天还没有被使用，主机一定会返回Unreachable；如果没有Unreachable的ICMP数据包 返回错误提示，那么，就说明被防火墙或者其他设备过滤了，也可以用这个方法探测是否有防火墙或者其他过滤设备存在。;