扫描器原理详解

TCP扫描

• connect：直接通过connect接口扫描tcp三次握手协议，且扫描速度极快。

• SYN：向目标发送一个syn包，若返回syn|ack包则端口开放，若返回rst未开放，比起connect属于半连接，因为并没有建立完整的三次握手协议，所以更加隐蔽。

• FIN：向目标发送fin包，成功包将被忽略，失败返回rst。这种方式仅用于unix和一些存在tcp bug的操作系统，不过比起syn还要隐蔽。

• Xmas Tree：发送FIN、URG、PUSH包，若关闭返回rst。

• reverse ident：ident协议允许通过tcp连接得到进程所有者的用户名，ftp所有者的信息，及其他需要的信息。

• ACK：根据ack位的设置情况探测防火墙的安全性。

• RPC：unix特有的，检测定位远程过程调用rpc端口及相关程序与版本标号。

  UDP扫描

• icmp：因为udp本身是无连接，所以不会返回任何响应包，不过端口关闭会返回icmp_port_unreach。这种扫描方式很不可靠，而且比较慢。

• icmp扫射：通过速度慢，主要利用ping快速确认网段中有多少活跃主机。

• 分片扫描：在发送扫描包时，将数据包分成许多ip分片，通过tcp包头分为几段，放入不同ip包中。这种方法能绕过一些包过滤程序，不过某些程序无法正确处理分割包，从而导致崩溃。

ARP定义及原理

arp（地址解析协议）工作在数据链路层，与硬件接口联系对上层提供服务。ip数据包通过以太网发送，而以太网设备不识别32位ip地址它们时以48位进行传输的，所以必须把ip目的地址转换成以太网地址。
每台主机都会在自己的arp缓冲区中建立arp表，通过此表可表示ip地址对应的mac地址。发送数据包是会查找自己的ARP表，没有则发送ARP广播包，查询目标的mac地址。
ARP欺骗则是发送一个自己伪造的arp应答，当其他主机接收到将包放在自己的ARP表中就会造成网络出现掉线等问题。
通过arp查mac地址说明有主机存活，通过ping可检测有无防火墙，snmp可判断是否有网络设备，如果是还可以得到设备名。

操作系统识别技术

1.icmp查看TTL值，不同的操作系统是不一样的。

• Windows NT TTL=107
• Windows 2000 TTL=108
• Windows 9x TTL=127或128
• Linux TTL=240或241
• Solaris TTL=252
• Lrix TTL=240

2.获取应用程序标识

对主机进行Telnet或ftp可返回banner信息。

3.操作系统指纹

1.TTL
2.df位
3.Window size
4.ack序号
5.icmp地址屏蔽请求
6.FIN包的响应
7.虚假标识的SYN包
8.ISN
9.icmp错误信息
10.icmp消息引用
11.tos服务类型
12.分段重组处理
13.mss（最大分段尺寸）
14.SYN FLOOD限度
15.主机使用的端口
16.Telnet选项指纹
17.http指纹
18.打印机服务指纹