1. 空閑掃描

　　前兩篇文章已經(jīng)介紹了Nmap命令的一些基本選項和若干類型的掃描，下面繼續(xù)來介紹Nmap的一個掃描類型——空閑掃描。?
　　為了降低被檢測到的機(jī)率，我們通常需要轉(zhuǎn)嫁責(zé)任，這時可以使用空閑掃描（idle scan），讓一個僵尸主機(jī)承擔(dān)掃描任務(wù)。

nmap.org官網(wǎng)上詳細(xì)講述了空閑掃描的原理，可以在http://nmap.org/book/idlescan.html了解空閑掃描的所有信息。

　　使用空閑掃描（-sI）需要注意一個問題，就是要找一臺TCP序列預(yù)測成功率高的僵尸主機(jī)，這個僵尸主機(jī)必須盡可能的空閑，比如說網(wǎng)絡(luò)打印機(jī)就是一個很好地選擇，因為網(wǎng)絡(luò)打印機(jī)不僅存在著恒定的網(wǎng)絡(luò)資源，而且很難預(yù)測它們的TCP序列。?
　　空閑掃描的原理：?
　　

向僵尸主機(jī)放松SYN/ACK數(shù)據(jù)包，獲得帶有分片ID（IPID）的RST報文。

發(fā)送使用僵尸主機(jī)IP地址的偽數(shù)據(jù)包給目標(biāo)主機(jī)。

如果目標(biāo)主機(jī)端口關(guān)閉，就會向僵尸主機(jī)響應(yīng)RST報文。如果目標(biāo)端口開放，目標(biāo)主機(jī)向僵尸主機(jī)響應(yīng)SYN/ACK報文，僵尸主機(jī)發(fā)現(xiàn)這個非法連接響應(yīng)，并向目標(biāo)主機(jī)發(fā)送RST報文，此時IPID號開始增長。

通過向僵尸主機(jī)發(fā)送另一個SYN/ACK報文已退出上述循環(huán)并檢查將是主機(jī)RST報文中的IPID是否每次增長2，同時目標(biāo)主機(jī)的RST每次增長1。

重復(fù)上述步驟直到檢測完所有的端口。

---

2. 尋找僵尸主機(jī)

　　空閑掃描的第一步就是尋找僵尸主機(jī)，我們可以通過下面這條命令（-v 詳細(xì)信息，-O 系統(tǒng)檢測，-Pn 無ping，-n 無域名解析）來獲得主機(jī)的TCP序列預(yù)測率。?
　　?
　　# nmap -v -O -Pn -n 192.168.50.16?
　　?
　　?
　　從結(jié)果上看，這個主機(jī)不是太理想，網(wǎng)絡(luò)距離只有一跳（自己搭建的環(huán)境，試驗用足夠了），但作為一個僵尸主機(jī)還是可以的。預(yù)測難度越高，一臺主機(jī)用作僵尸主機(jī)的可能性就越小。我們還可以連續(xù)生成ID來增加掃描成功的概率。

---

3. idle掃描應(yīng)用

　　使用以下命令掃描，并啟動wireshark抓包。

# nmap -p 22,23,53,80,443,8888,3960 -Pn -sI 10.128.***.**(僵尸主機(jī)IP） 222.**.**.**(目標(biāo)主機(jī)IP)

• 1

• 1

　　使用-p啟動已知TCP端口的掃描，節(jié)省時間；通過-Pn強(qiáng)調(diào)不適用ping（默認(rèn)是使用的），-sI啟動空閑掃描，后面依次是僵尸主機(jī)和目標(biāo)主機(jī)的ip地址。?
　　?
　　查看wireshark抓包情況，可以看到從僵尸主機(jī)到目標(biāo)主機(jī)之間有一些異常的網(wǎng)絡(luò)流量。?
　　
　　從結(jié)果上看，Nmap命令在僵尸主機(jī)和目標(biāo)主機(jī)網(wǎng)絡(luò)上產(chǎn)生了很多流量，我們需要這些流量來增加IPID的值，從而獲知目標(biāo)主機(jī)端口是否開放。

總結(jié)

以上是生活随笔為你收集整理的渗透测试之Nmap命令（三） idle 扫描的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。