TCP SYN()扫描
扫描程序向目标主机发送SYN数据段,好像准备打开一个实际的连接并等待反映一样。如果收到的应答是SYN/ACK,那么说明目标端口处于监听状态。如果收到的应答是RST,说明目标端口是关闭的。 扫描程序在收到应答之后不管是何种应答,都向目标主机发送一个RST/ACK分组、这样,虽然没有建立一个完整的TCP连接,但扫描程序也能从目标主机的应答中知道目标主机的某个端口是否开放。 由于扫描是并未建立全连接,所以这种技术通常也称为“半连接”扫描,如图:
采用这种“半打开扫描”,目标系统并不对它进行登记,因此比前一种TCP Connect()扫描更隐蔽。即使日志中对于扫描有所记录,对尝试连接的记录也要比全扫描的记录少得多。但在大部分操作系统中,发送主机需要构造适用于这种扫描类型的IP包,通常只有草鸡用户或得到的用户才有权限访问专门的系统调用,构造这种这种专门的 SYN 数书包。
转载请注明原文地址: https://ju.6miu.com/read-36578.html
