1. 空閑掃描

　　前兩篇文章已介紹了Nmap命令的1些基本選項和若干類型的掃描，下面繼續(xù)來介紹Nmap的1個掃描類型――空閑掃描。
　　為了下降被檢測到的機率，我們通常需要轉(zhuǎn)嫁責任，這時候可使用空閑掃描（idle scan），讓1個僵尸主機承當掃描任務(wù)。

nmap.org官網(wǎng)上詳細講述了空閑掃描的原理，可以在http://nmap.org/book/idlescan.html了解空閑掃描的所有信息。

　　使用空閑掃描（-sI）需要注意1個問題，就是要找1臺TCP序列預(yù)測成功率高的僵尸主機，這個僵尸主機必須盡量的空閑，比如說網(wǎng)絡(luò)打印機就是1個很好地選擇，由于網(wǎng)絡(luò)打印機不但存在著恒定的網(wǎng)絡(luò)資源，而且很難預(yù)測它們的TCP序列。
　　空閑掃描的原理：
　　

1. 向僵尸主機放松SYN/ACK數(shù)據(jù)包，取得帶有分片ID（IPID）的RST報文。
2. 發(fā)送使用僵尸主機IP地址的偽數(shù)據(jù)包給目標主機。
3. 如果目標主機端口關(guān)閉，就會向僵尸主機響應(yīng)RST報文。如果目標端口開放，目標主機向僵尸主機響應(yīng)SYN/ACK報文，僵尸主機發(fā)現(xiàn)這個非法連接響應(yīng)，并向目標主機發(fā)送RST報文，此時IPID號開始增長。
4. 通過向僵尸主機發(fā)送另外一個SYN/ACK報文已退出上述循環(huán)并檢查將是主機RST報文中的IPID是不是每次增長2，同時目標主機的RST每次增長1。
5. 重復(fù)上述步驟直到檢測完所有的端口。

2. 尋覓僵尸主機

　　空閑掃描的第1步就是尋覓僵尸主機，我們可以通過下面這條命令（-v 詳細信息，-O 系統(tǒng)檢測，-Pn 無ping，-n 無域名解析）來取得主機的TCP序列預(yù)測率。
　　
　　# nmap -v -O -Pn -n 192.168.50.16
　　
　　
　　從結(jié)果上看，這個主機不是太理想，網(wǎng)絡(luò)距離只有1跳（自己搭建的環(huán)境，實驗用足夠了），但作為1個僵尸主機還是可以的。預(yù)測難度越高，1臺主機用作僵尸主機的可能性就越小。我們還可以連續(xù)生成ID來增加掃描成功的幾率。

3. idle掃描利用

　　使用以下命令掃描，并啟動wireshark抓包。

　　使用-p啟動已知TCP端口的掃描，節(jié)省時間；通過-Pn強調(diào)不適用ping（默許是使用的），-sI啟動空閑掃描，后面順次是僵尸主機和目標主機的ip地址。
　　
　　查看wireshark抓包情況，可以看到從僵尸主機到目標主機之間有1些異常的網(wǎng)絡(luò)流量。
　　
　　從結(jié)果上看，Nmap命令在僵尸主機和目標主機網(wǎng)絡(luò)上產(chǎn)生了很多流量，我們需要這些流量來增加IPID的值，從而獲知目標主機端口是不是開放。