殭屍掃瞄簡要介紹

2021-10-23 21:14:04 字數 1161 閱讀 1609

·殭屍掃瞄【極度隱蔽的方式】【一般是搞黑產的】

​ 需要大量伺服器,要進行位址偽造,偽造各種ip位址,做大批量ddos攻擊(通過發大量資料報讓伺服器無法正常執行),一般的ddos攻擊,防火牆和安全裝置都可以抵擋得住;需要找到大量的ip位址,在網路上當中是閒置的。【因為都沒有進行完整的三次握手,直接是從第二步開始進行的,第三步返回的還是rst包,所以相對來說要隱蔽一些】

·殭屍掃瞄過程

​ i=ip()

​ t=tcp()

​ rz=(i/t)【向殭屍機傳送的資料報】

​ rt=(i/t)【向目標機傳送的資料報】

​ rz[ip].dst=「192.168.1.105」【首先和殭屍機傳送】

​ rz[tcp].dport=445【埠,最好寫開放的】

​ rz[tcp].flags=「sa」【向殭屍機傳送乙個syn 加ack的包】

​ rt[ip].src=「192.168.1.105」【偽造原位址,寫殭屍機的位址】

​ rt[ip].dst=「192.168.1.106」【目標位址】

​ rt[tcp].dport=80【目標機的埠】

​ rt[tcp].flags=「s」【傳送給目標機器的syn 包】

​ az1=sr1(rz)【向殭屍機發的第乙個包】

​ at=sr1(rt,timeout=1)【向目標機發的第乙個包】【因為是偽造位址,不會得到回應,所以發出去就不用管了】

​ az2=sr1(rz)【向殭屍機發的第二個包】

​ az1【比較az1和az2的區別】

​ az2【可以從返回結果中看出id即ipidseq增加了,可以證明目標埠445是開放的,證明殭屍網路掃瞄是成功的】

​ ·nmap -p445 192.168.1.105 --script=ipidseq.nse【判斷是否能當殭屍機】【如果ipidseq不能增長,則不能當殭屍機】【如果埠沒有開只返回一次ipid,開放,返回rst包,如果開放的話則返回兩次(返回|_ipidseq: incremental!出現這個代表可以當殭屍機)】

​ · nmap 192.168.1.106 -si 192.168.1.105 -p1-1000【指定殭屍的主機】【192.168.1.105是掃瞄的殭屍主機】

​ ·nmap 192.168.1.106 -si 192.168.1.101 -p1-100 -pn --open

埠掃瞄介紹(一) 帶殭屍掃瞄詳解

對於完整的udp應用層請求 準確性高 耗時巨大 比tcp快 與之前相反,響應icmp表示埠關閉 掃瞄工具 scapy udp scan nmap scapy udp scan 埠關閉呈現icmp port unreachable,埠開放是沒有回包,同時是與三層相同的技術。舉例 sr1 ip dst ...

Asp HTTP 簡要介紹

asp http 簡要介紹 特性 1 get post head 請求方法 2 response 回應 頭可見 3 accept 接受 頭可修改 4 超時時間可調整 5 支援proxy 6 自定義客戶 頭 7 自定義posts的內容 型別頭 8 重定向 9 支援驗證內容 10 從url獲得檔案 包括...

Ransac 簡要介紹

什麼是ransac?ransac是randomsampleconsensus 隨機抽樣一致性 的縮寫。它是從乙個觀察資料集合中,估計模型引數 模型擬合 的迭代方法。它是一種隨機的不確定演算法,每次運算求出的結果可能不相同,但總能給出乙個合理的結果,為了提高概率必須提高迭代次數。ransac很強大。如...