高級NMAP掃描技巧：TCP空閒掃描

一種更加高級的nmap掃描方式是TCP空閒掃描，這種掃描能讓我們冒充網絡上另一臺主機的IP地址，對目標進行更爲隱祕的掃描。進行這種掃描，我們需要在網絡上定位一臺使用遞增IP幀(IP ID：用於跟蹤IP包的次序的一種技術)機智的空閒主機(空閒是指該主機在一段特定的時間內不向網絡發送數據包)。當我們發現一臺這樣的主機後，它的IP幀的標識。當我們冒充這臺空閒主機的IP地址對目標主機某個端口進行探測後，如果該空閒主機實際的幀標識與預測得出的IP幀標識發生斷檔，那麼意味着該端口可能是開放的。
可以使用Metasploit框架的scanner/ip/ipidseq模塊，來尋找可能滿足TCP空閒掃描要求的空閒主機，如下所示:

Name這個列表中展示了ipidseq掃描所需的所有參數，其中RHOST可以使用地址段(192.168.1.100-192.168.1.200)、CIDR地址塊(192.168.1.0/24)，也可用逗號分隔多個CIDR地址塊，以及每行包含一個IP地址的IP列表。
THREADS是設定掃描的線程數，默認爲1.增加線程數可提高掃描的速度。一般來說，在windows平臺運行matesploit，線程數最好不要超過16個，在類unix平臺上運行matesploit線程數不要超過128。
現在我們開始掃描，如下所示：

通過掃描結果發現有多個空閒主機可以用於空閒掃描。我們嘗試在nmap中使用-sI選項指定獲取結果中的192.168.1.2作爲空閒主機對目標主機進行掃描，如下所示：

使用空閒掃描，我們可以不用自身IP地址向目標主機發送任何數據包，就能獲取盜目標主機上開放的端口信息。