DEV Community
·
如何使用Nmap寻找僵尸主机?
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
本文介绍了“闲置扫描”技术,利用“僵尸”主机进行端口扫描,以规避防火墙和入侵检测系统。攻击者通过发送伪造的SYN包,分析目标主机的响应来判断端口状态。可以使用Nmap的IPIDSEQ脚本寻找合适的僵尸主机。尽管此方法有效,但现代入侵检测系统仍可能检测到闲置扫描,使用时需谨慎并确保获得授权。
🎯
关键要点
- 闲置扫描技术利用僵尸主机进行端口扫描,以规避防火墙和入侵检测系统。
- 攻击者通过发送伪造的SYN包,分析目标主机的响应来判断端口状态。
- 扫描过程分为五个阶段,包括向僵尸主机发送SYN/ACK、伪造SYN包、目标主机响应等。
- 可以使用Nmap的IPIDSEQ脚本寻找合适的僵尸主机,扫描随机主机以找到可用的僵尸。
- 选择僵尸主机时需谨慎,避免流量过大的主机,以确保IP ID的准确性。
- 闲置扫描是一种有效的主机发现方法,但现代入侵检测系统可能仍会检测到这种扫描。
- 进行网络扫描时必须获得明确的授权,未经许可的扫描可能导致法律后果。
❓
延伸问答
什么是闲置扫描技术?
闲置扫描技术是一种利用僵尸主机进行端口扫描的方法,可以规避防火墙和入侵检测系统的检测。
如何使用Nmap进行闲置扫描?
可以使用命令'nmap -sI <僵尸主机> -p <要扫描的端口> <目标>'来启动闲置扫描。
闲置扫描的工作原理是什么?
闲置扫描通过发送伪造的SYN包到目标主机,并分析僵尸主机的IP ID变化来判断目标端口的状态。
如何找到合适的僵尸主机进行扫描?
可以使用Nmap的IPIDSEQ脚本扫描随机主机,选择流量较小的主机以确保IP ID的准确性。
闲置扫描有哪些潜在风险?
现代入侵检测系统可能会检测到闲置扫描,因此使用时需谨慎,并确保获得授权。
进行网络扫描时需要注意什么?
进行网络扫描时必须获得明确的授权,未经许可的扫描可能导致法律后果。
➡️
