TCP僵尸扫描端口

必须条件：
闲置主机，避免IPID混乱
系统使用递增的IPID

三个步骤：
观察僵尸机的IPID递增是IPID 1还是IPID 2来判断端口是否开放，IPID 1是没开放，IPID 2是开放。

第一步
扫描者 --> syn ack --> 僵尸机
扫描者 <-- reset 收到僵尸机IPID <-- 僵尸机

第二步
扫描者 --> 利用僵尸机IP伪造发送syn --> 目标主机
僵尸机 <-- syn ack <-- 目标主机
僵尸机 --> reset 并且IPID 1 --> 目标主机

第三步
扫描者 --> syn ack --> 僵尸机
扫描者 <-- reset 收到僵尸机IPID 2 <-- 僵尸机
收到IPID 2证明端口开放

端口关闭的流程：
第一步
扫描者 --> syn ack --> 僵尸机
扫描者 <-- reset 收到僵尸机IPID <-- 僵尸机

注意第二步
扫描者 --> 利用僵尸机IP伪造发送syn --> 目标主机
僵尸机 <-- 端口没有开放返回 reset <-- 目标主机
僵尸机收到reset也就无需返回任何东西

第三步
扫描者 --> syn ack --> 僵尸机
扫描者 <-- reset 收到僵尸机IPID 1 <-- 僵尸机
收到IPID 1证明端口没有开放

nmap使用：
发现可用僵尸机
nmap -p(僵尸机端口) (僵尸机ip) --script=ipidseq. nse
例子：nmap -p445 192.168.1.134 --script=ipidsea. nse

僵尸扫描(-sI 注意是大写i不是小写L)
nmap (目标ip) -sI (僵尸机ip) -Pn -p (目标端口)
例子：nmap 192.168.1.10 -sI 192.168.1.134 -Pn -p 0-1000