【安全狐】僵尸扫描过程图解

最新推荐文章于 2022-05-23 09:40:10 发布
最新推荐文章于 2022-05-23 09:40:10 发布
阅读量453 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44893633/article/details/106182542
本文详细解析了僵尸扫描技术的工作原理,包括三次握手过程、僵尸扫描针对目标主机端口开放和未开放的不同扫描流程,以及如何利用IPID变化判断端口状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、僵尸扫描过程图解

1. 三次握手过程

所谓的“三次握手”:为了对每次发送的数据量进行跟踪与协商,确保数据段的发送和接收同步,根据所接收到的数据量而确认数据发送、接收完毕后何时撤消联系,并建立虚连接

2. 僵尸扫描(目标主机的端口开放)过程

扫描者主机对僵尸机发送SYN/ACK包,然后僵尸机(假设此时系统产生的IP ID为x)会回给主机一个RST,主机将会得到僵尸机的IP ID,然后扫描主机向目标机器发送一个SYN包,有所不同的是,此时扫描主机会伪造一个伪装成僵尸机的IP(即是x)向目标主机发送SYN包。如果目标的端口开放,便会向僵尸机返回一个SYN/ACK包,但是僵尸机并没有发送任何包,僵尸机会向目标主机发送RST,此时僵尸机的IPID将会增加1:x+1,最后,扫描者主机对僵尸机发送SYN/ACK包,然后僵尸机会回给主机一个RST,此时IP ID = X+2。

3. 僵尸扫描(目标主机的端口未开放)过程

若果目标主机的端口并未开放,那么目标主机也会向僵尸机发送一个RST,但是僵尸机收到RST包不会有任何反应,所以IPID不会改变(依旧是x)。最后扫描者主机再向僵尸机发送一个SYN/ACK,同样的僵尸机会向扫描者主机发送一个RST包,此时僵尸机的IPID将变成(x+1).通过IPID的数值来判断目标机器的端口是否开放。

nmap扫描僵尸主机并进行僵尸扫描
赴前尘
06-22 490
nmap扫描僵尸主机
Kali渗透测试之端口扫描2——僵尸扫描(Scapy、python脚本、nmap)
浅浅的博客
04-20 1603
一、僵尸扫描 1、极度隐蔽; 2、实施条件苛刻; 3、扫描发起方和被扫描的目标服务器之间的网络必须实现地址伪造(现在的边界路由器大都加入了防地址伪造过滤的策略); 4、必须有一个僵尸机。 选择僵尸机的条件: 闲置系统 系统使用递增的IPID(如果目标系统的IPID永远是0或者是随机产生的,则僵尸扫描无法实现)。现在主流的Linux系统和新版Windows系统的IPID都是随机产生的...
僵尸扫描过程详解
weixin_45933784的博客
02-06 1284
僵尸扫描简介 僵尸扫描其实是信息收集的一种手段,它是信息收集环节的端口扫描阶段,但是常见的端口扫描过程往往会在网络层被发现痕迹,导致没有达到预期的隐藏目的,僵尸扫描却能有效的隐藏自己的踪迹 第一步——进行僵尸扫描的条件 (1)选择合格的僵尸机:一个足够闲置 ,并且不和除了我们之外的任何其他机器进行网络通信的主机;它的IPID必须是递增的,0和随机都不可以。然而现在大部分主流的OS的IPID都是随机产生的,但是早期的xp,比如xp200,xp2003都是递增的IPID。 (2)可伪造源IP地址,但是在某些网络
僵尸扫描详解及实例演示
Fly_鹏程万里
08-18 1440
【摘要】端口扫描是主动扫描的重要一部分,而僵尸扫描是主动信息收集下的一种及其隐蔽的TCP扫描方式,相对于全连接扫描和隐蔽扫描而言,执行僵尸扫描的条件非常苛刻。一个合格的僵尸机是实现僵尸扫描的关键因素,僵尸至少要保证在进行扫描阶段不会产生其他的IP包,即是不会与我们主机之外的任何机器进行第三层的IP通讯,至少在我们控制其进行扫描的阶段不可以,否则将直接导致我们的扫描结果不可靠。 【关键字】 ...
僵尸扫描
HoYim
04-19 594
一、僵尸扫描介绍 1.僵尸扫描的目的:进行僵尸扫描的目的是在进行扫描的时候利用僵尸主机作为跳板来扫描目标主机,这样目标主机的日志文件中记录的就是僵尸主机的IP地址,这样便可以在网络中隐藏自己的行踪,不被别人发现。 2.僵尸主机的要求:长期闲置并且连接互联网。并且ID值是连续的。 3.僵尸扫描原理概括 1.扫描者向僵尸主机发送SYN/ACK 2.僵尸主机向扫描者发送RST,ipID=X 3.扫描...
僵尸扫描原理详解
永远是少年
05-23 459
今天继续给大家介绍渗透测试相关知识,本文主要内容是僵尸扫描原理。 一、僵尸扫描概述 二、僵尸扫描原理 三、写在最后
Kali渗透—僵尸扫描
Shmily17s的博客
11-15 4544
2.5 僵尸扫描 2.5.1 什么是僵尸扫描 僵尸主机:僵尸主机是指感染僵尸病毒程序,从而被黑客程序控制的计算机设备。但是僵尸扫描中的僵尸主机指的是一个闲置的操作系统(闲置指主机不会主动和任何人通信),且此系统中IP数据包中ID是递增的。 IPID:指的是通信过程中,IP数据包中的ID。 僵尸扫描具有极高的隐蔽特性,但是实施条件苛刻。 目标网络可伪造源地址进行访问 选择僵尸主机,僵尸主机需要在互联上是一个闲置的操作系...
渗透测试:信息收集与僵尸扫描(大飞哥网络安全公开课程).mp4
07-24
课程要点: 1、Nmap扫描工具的入门与进阶; 2、利用僵尸机空闲扫描; 3、情报收集之whois; 4、情报收集之google; 5、情报收集之子域名挖掘。
第六节 渗透测试:信息收集与僵尸扫描(天融信网络安全公开课程)
09-23
第六节 渗透测试:信息收集与僵尸扫描(天融信网络安全公开课程)
僵尸扫描总结
fddsdfsd的博客
08-23 353
一、僵尸扫描介绍 1.僵尸扫描的目的:进行僵尸扫描的目的是在进行扫描的时候利用僵尸主机作为跳板来扫描目标主机,这样目标主机的日志文件中记录的就是僵尸主机的IP地址,这样便可以在网络中隐藏自己的行踪,不被别人发现。 2.僵尸主机的要求:长期闲置并且连接互联网。并且ID值是连续的。 3.僵尸扫描原理概括 1.扫描者向僵尸主机发送SYN/ACK 2.僵尸主机向扫描者发送RST,ipID=X 3.扫描者伪造为僵尸主机ip,并向目标发送SYN 4.目标向僵尸主机发送SYN/ACK 5.僵尸主机向目标发送RST,
渗透测试技术----端口扫描(二)--僵尸扫描(python、scapy、nmap)
wwl012345的博客
07-17 1250
一、僵尸扫描介绍 1.僵尸扫描的目的:进行僵尸扫描的目的是在进行扫描的时候利用僵尸主机作为跳板来扫描目标主机,这样目标主机的日志文件中记录的就是僵尸主机的IP地址,这样便可以在网络中隐藏自己的行踪,不被别人发现。 2.僵尸主机的要求:长期闲置并且连接互联网。并且ID值是连续的。 3.僵尸扫描原理概括 其实,扫描者是通过僵尸主机回复的ID号来判断目标主机是否存活,在第四步的时候,如果目标主机没有存...
僵尸扫描简要介绍
weixin_43625375的博客
08-27 397
·僵尸扫描【极度隐蔽的方式】【一般是搞黑产的】 ​ 需要大量服务器,要进行地址伪造,伪造各种ip地址,做大批量DDOS攻击(通过发大量数据包让服务器无法正常运行),一般的DDOS攻击,防火墙和安全设备都可以抵挡得住;需要找到大量的ip地址,在网络上当中是闲置的。【因为都没有进行完整的三次握手,直接是从第二步开始进行的,第三步返回的还是RST包,所以相对来说要隐蔽一些】 ·僵尸扫描过程 ​ i=IP() ​ t=TCP() ​ rz=(i/t)【向僵尸机发送的数据包】 ​ rt=(i/t)【向目标机
端口扫描介绍(三)——僵尸扫描实操
Jeromeyoung
03-05 918
僵尸扫描过程扫描者、僵尸机、目标机): 端口打开状态: 一:由扫描者给僵尸机发一个SYN/ACK包(为发生三次握手),正常情况下,僵尸机返回一个RST给扫描者,收到一个IPID值 二:扫描者向目标服务器发一个SYN包(这个包是要伪造源地址的,不能透露scanner,这个包的源IP是要为造成僵尸机的IP),因为是SYN包,这个目标服务器就会向僵尸机的IP发一个SYN/ACK包,僵尸机(莫名奇...
信息收集——僵尸扫描
hl1293348082的专栏
04-07 721
0x00. 信息收集简介 渗透测试中,信息收集是最重要的阶段,占据整个渗透测试的60%左右,根据收集到的信息可以有效提高我们渗透测试的成功率,可见高效的信息收集对我们是多么重要。僵尸扫描正是信息收集环节的端口扫描阶段,但是常见的端口扫描过程往往会在网络层被发现痕迹,导致没有达到预期的隐藏目的,僵尸扫描却能有效的隐藏自己的踪迹。 0x01. 僵尸扫描介绍 往往鱼与熊掌不可得兼,僵尸扫描在隐藏踪迹的同时也有着其极其苛刻的使用条件。想要实施僵尸扫描必须具备下列两个必要条件: 其一:有一台合格的僵尸机,所谓
主动信息收集--------僵尸扫描
weixin_45419105的博客
07-17 195
一、僵尸扫描 僵尸扫描是一种要求极其高的主动扫描方式,它需要一个系统使用递增的ipid且系统闲置的僵尸机。因此,僵尸扫描极度隐蔽。 二、僵尸扫描大致图解 三、实验环境 因僵尸扫描要求极高,所以本次实验在虚拟机环境下进行 Zombie(windows xp):192.168.32.177 扫描者主机(kali):192.168.32.132 目标主机(Redhat):192.168.32.188 ...
图解Kali僵尸扫描
Y1739673041的博客
07-03 1020
Scanner——扫描者Zombie——僵尸机Target——目标主机1、目标端口开放状态2、目标端口关闭状态
安全】Nmap&Masscan扫描工具使用详讲
安全狐
10-02 2100
1.Nmap扫描 Nmap是一个 [网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全] 。 正如大多数被用于网络安全的工具,Nmap 也是不少黑客及骇客(又称脚本小子)爱用的工具 。系统管理员可以利用Nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用Nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 Nmap 常被跟评估系统漏
如何利用僵尸扫描来发现服务器的开放端口
发哥微课堂
11-23 1090
0x00:简介 渗透测试信息搜集阶段,在发现目标服务器所开放端口时,扫描方式可分为三种,分别是:隐蔽扫描,全链接扫描僵尸扫描。 全链接扫描:即正常的请求,过程包含了三次握手,判断端口开放的依据是第三次握手返回的信息是否为 FIN/ACK。 隐蔽扫描:即只发送第一次握手的 SYN 包,判断端口开放的依据是返回的信息是否为 SYN/ACK,如果为 SYN/ACK 则端口开放,否则为未开...
端口扫描介绍(一)——带僵尸扫描详解
Jeromeyoung
03-05 1166
端口扫描: 1、端口对应网络服务及应用端程序 2、服务端程序的漏洞通过端口攻入 3、发现开放的端口 4、更具体的攻击面 UDP端口扫描: 假设ICMP port-unreachable 响应代表端口关闭(目标系统不响应ICMP port-unreachable 时,可能产生误判) 对于完整的UDP应用层请求:准确性高、耗时巨大(比TCP快) #与之前相反,响应ICMP表示端口关闭...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值