僵尸扫描

概念

​ 僵尸主机是指感染僵尸程序病毒，从而被黑客控制的计算机设备。但是僵尸扫描中的僵尸主机指的是一个闲置的操作系统(这里的闲置是指主机不会主动和任何人通信)，且此系统的IP数据包是递增的。

​ IPID：指的是通信过程中，IP数据包中的ID。

​

​ 僵尸扫描拥有极高的隐蔽特性，但是实验条件苛刻。

​ 1.目标网络可伪造源地址进行访问。

​ 2.选择僵尸机，僵尸机需要在互联网上是一个闲置的操作系统，需要系统使用递增的IPID，比如XP系统。

原理

SYN/ACK是第二次包。

第一次

肉鸡发送SYN/ACK包

僵尸机会返回拒绝包，会泄露IPID=x

第二次

肉鸡向目标发送SYN包，使用僵尸机IP

目标会向僵尸机发送回应请求SYN/ACK

发送IPID=x+1

僵尸机会断开连接

第三次

肉鸡向僵尸机发送SYN/ACK包，IPID=x+2

目的：

如果端口是关闭的，就不会发送请求，因此来勘测开放端口