滲透測試之Nmap命令（三） idle 掃瞄

前兩篇文章已經介紹了nmap命令的一些基本選項和若干型別的掃瞄，下面繼續來介紹nmap的乙個掃瞄型別——空閒掃瞄。

為了降低被檢測到的機率，我們通常需要轉嫁責任，這時可以使用空閒掃瞄（idle scan），讓乙個殭屍主機承擔掃瞄任務。

nmap.org官網上詳細講述了空閒掃瞄的原理，可以在了解空閒掃瞄的所有資訊。

使用空閒掃瞄（-si）需要注意乙個問題，就是要找一台tcp序列**成功率高的殭屍主機，這個殭屍主機必須盡可能的空閒，比如說網路印表機就是乙個很好地選擇，因為網路印表機不僅存在著恆定的網路資源，而且很難**它們的tcp序列。

空閒掃瞄的原理：

向殭屍主機放鬆syn/ack資料報，獲得帶有分片id（ipid）的rst報文。

傳送使用殭屍主機ip位址的偽資料報給目標主機。

如果目標主機埠關閉，就會向殭屍主機響應rst報文。如果目標埠開放，目標主機向殭屍主機響應syn/ack報文，殭屍主機發現這個非法連線響應，並向目標主機傳送rst報文，此時ipid號開始增長。

通過向殭屍主機傳送另乙個syn/ack報文已退出上述迴圈並檢查將是主機rst報文中的ipid是否每次增長2，同時目標主機的rst每次增長1。

重複上述步驟直到檢測完所有的埠。

空閒掃瞄的第一步就是尋找殭屍主機，我們可以通過下面這條命令（-v 詳細資訊，-o 系統檢測，-pn 無ping，-n 無網域名稱解析）來獲得主機的tcp序列**率。

從結果上看，這個主機不是太理想，網路距離只有一跳（自己搭建的環境，試驗用足夠了），但作為乙個殭屍主機還是可以的。**難度越高，一台主機用作殭屍主機的可能性就越小。我們還可以連續生成id來增加掃瞄成功的概率。

使用以下命令掃瞄，並啟動wireshark抓包。

# nmap -p 22,23,53,80,443,8888,3960 -pn -si 10.128.***.*
*(殭屍主機ip） 222.*
*.**.*
*(目標主機ip)

使用-p啟動已知tcp埠的掃瞄，節省時間；通過-pn強調不適用ping（預設是使用的），-si啟動空閒掃瞄，後面依次是殭屍主機和目標主機的ip位址。

檢視wireshark抓包情況，可以看到從殭屍主機到目標主機之間有一些異常的網路流量。

從結果上看，nmap命令在殭屍主機和目標主機網路上產生了很多流量，我們需要這些流量來增加ipid的值，從而獲知目標主機埠是否開放。