ID头信息扫描-软考在线

ID头信息扫描



考试要求：掌握

知识路径： > 网络攻击原理与常用方法 > 网络攻击常见技术方法 > 端口扫描 > 端口扫描

这种扫描方法需要用一台第三方机器配合扫描，并且这台机器的网络通信量要非常少，即dumb主机。

首先由源主机A向dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会增加1。然后由源主机A假冒主机B的地址向目的主机C的任意端口（1～65535）发送SYN数据包。这时，主机C向主机B发送的数据包有两种可能的结果：

. SYN|ACK表示该端口处于监听状态。

. RST|ACK表示该端口处于非监听状态。

那么，由后续PING数据包的响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1，而是大于1。如果主机C的某个端口是非开放的，则主机B返回A的数据包中，ID头的值递增1，非常规律。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5