高級掃描技術及原理介紹

　　最基本的探測就是Ping，不過現在 連基本的個人防火墻都對Ping做了限制，這個也太基本了。如果透過防火墻，如何獲得最理想的目標圖，也是很多人整天思考的問題。

　　一、高級ICMP掃描技術

　　Ping就是利用ICMP協議走的，我們在這里主要是利用ICMP協議最基本的用途：報錯，根據網絡協議，如果按照協議出現了錯誤，那么接收端將產生一個ICMP的錯誤報文。這些錯誤報文并不是主動發送的，而是由于錯誤，根據協議自動產生。

　　當IP數據報出現checksum和版本的錯誤的時候，目標主機將拋棄這個數據報，如果是checksum出現錯誤，那么路由器就直接丟棄這個數據報了。有些主機比如AIX、HP-UX等，是不會發送ICMP的Unreachable數據報的。

　　我們利用下面這些特性：

　　1、向目標主機發送一個只有IP頭的IP數據包，目標將返回Destination Unreachable的ICMP錯誤報文。
　　2、向目標主機發送一個壞IP數據報，比如，不正確的IP頭長度，目標主機將返回Parameter Problem的ICMP錯誤報文。
　　3、當數據包分片但是，卻沒有給接收端足夠的分片，接收端分片組裝超時會發送分片組裝超時的ICMP數據報。
向目標主機發送一個IP數據報，但是協議項是錯誤的，比如協議項不可用，那么目標將返回Destination Unreachable的ICMP報文，但是如果是在目標主機前有一個防火墻或者一個其他的過濾裝置，可能過濾掉提出的要求，從而接收不到任何回應�？梢允褂靡粋�非常大的協議數字來作為IP頭部的協議內容，而且這個協議數字至少在今天還沒有被使用，應該主機一定會返回Unreachable，如果沒有Unreachable的ICMP數據報返回錯誤提示，那么就說明被防火墻或者其他設備過濾了，我們也可以用這個辦法來探測是否有防火墻或者其他過濾設備存在。

　　利用IP的協議項來探測主機正在使用哪些協議，我們可以把IP頭的協議項改變，因為是8位的，有256種可能。通過目標返回的ICMP錯誤報文，來作判斷哪些協議在使用。如果返回Destination Unreachable，那么主機是沒有使用這個協議的，相反，如果什么都沒有返回的話，主機可能使用這個協議，但是也可能是防火墻等過濾掉了。NMAP的IP Protocol scan也就是利用這個原理。

　　利用IP分片造成組裝超時ICMP錯誤消息，同樣可以來達到我們的探測目的。當主機接收到丟失分片的數據報，并且在一定時間內沒有接收到丟失的數據報，就會丟棄整個包，并且發送ICMP分片組裝超時錯誤給原發送端。我們可以利用這個特性制造分片的數據包，然后等待ICMP組裝超時錯誤消息�？梢詫�UDP分片，也可以對TCP甚至ICMP數據包進行分片，只要不讓目標主機獲得完整的數據包就行了，當然，對于UDP這種非連接的不可靠協議來說，如果我們沒有接收到超時錯誤的ICMP返回報，也有可能時由于線路或者其他問題在傳輸過程中丟失了。

　　我們能夠利用上面這些特性來得到防火墻的ACL（access list），甚至用這些特性來獲得整個網絡拓撲結構。如果我們不能從目標得到Unreachable報文或者分片組裝超時錯誤報文，可以作下面的判斷：

　　1、防火墻過濾了我們發送的協議類型
　　2、防火墻過濾了我們指定的端口
　　3、防火墻阻塞ICMP的Destination Unreachable或者Protocol Unreachable錯誤消息。
　　4、防火墻對我們指定的主機進行了ICMP錯誤報文的阻塞。

　　最基本的利用TCP掃描就是使用connect（），這個很容易實現，如果目標主機能夠connect，就說明一個相應的端口打開。不過，這也是最原始和最先被防護工具拒絕的一種。

　　在高級的TCP掃描技術中主要利用TCP連接的三次握手特性來進行，也就是所謂的半開掃描。這些辦法可以繞過一些防火墻，而得到防火墻后面的主機信息。當然，是在不被欺騙的情況下的。下面這些方法還有一個好處就是比較難于被記錄，有的辦法即使在用netstat命令上也根本顯示不出來。

　　SYN

　　向遠端主機某端口發送一個只有SYN標志位的TCP數據報，如果主機反饋一個SYN || ACK數據包，那么，這個主機正在監聽該端口，如果反饋的是RST數據包，說明，主機沒有監聽該端口。在X-Scanner 上就有SYN的選擇項。

　　ACK

　　發送一個只有ACK標志的TCP數據報給主機，如果主機反饋一個TCP RST數據報來，那么這個主機是存在的。

　　FIN

　　對某端口發送一個TCP FIN數據報給遠端主機。如果主機沒有任何反饋，那么這個主機是存在的，而且正在監聽這個端口；主機反饋一個TCP RST回來，那么說明該主機是存在的，但是沒有監聽這個端口。

　　NULL

　　即發送一個沒有任何標志位的TCP包，根據RFC793，如果目標主機的相應端口是關閉的話，應該發送回一個RST數據包。

　　FIN+URG+PUSH

　　向目標主機發送一個Fin、URG和PUSH分組，根據RFC793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標志。

　　三、高級UDP掃描技術

　　在UDP實現的掃描中，多是了利用和ICMP進行的組合進行，這在ICMP中以及提及了。還有一些特殊的就是UDP回饋，比如SQL SERVER，對其1434端口發送‘x02’或者‘x03’就能夠探測得到其連接端口。

#include <stdio.h>
#include <winsock2.h>
#include <ws2tcpip.h>

#define SOURCE_PORT 7234
#define MAX_RECEIVEBYTE 255

typedef struct ip_hdr //定義IP首部
{
unsigned char h_verlen； //4位首部長度,4位IP版本號
unsigned char tos； //8位服務類型TOS
unsigned short total_len； //16位總長度（字節）
unsigned short ident； //16位標識
unsigned short frag_and_flags； //3位標志位
unsigned char ttl； //8位生存時間 TTL
unsigned char proto； //8位協議 （TCP, UDP 或其他）
unsigned short checksum； //16位IP首部校驗和
unsigned int sourceIP； //32位源IP地址
unsigned int destIP； //32位目的IP地址
}IPHEADER；

typedef struct tsd_hdr //定義TCP偽首部
{
unsigned long saddr； //源地址
unsigned long daddr； //目的地址
char mbz；
char ptcl； //協議類型
unsigned short tcpl； //TCP長度
}PSDHEADER；

typedef struct tcp_hdr //定義TCP首部
{
USHORT th_sport； //16位源端口
USHORT th_dport； //16位目的端口
unsigned int th_seq； //32位序列號
unsigned int th_ack； //32位確認號
unsigned char th_lenres； //4位首部長度/6位保留字
unsigned char th_flag； //6位標志位
USHORT th_win； //16位窗口大小
USHORT th_sum； //16位校驗和
USHORT th_urp； //16位緊急數據偏移量
}TCPHEADER；

//CheckSum:計算校驗和的子函數
USHORT checksum（USHORT *buffer, int size）
{
unsigned long cksum=0；
while（size >1）
{
cksum+=*buffer++；
size -=sizeof（USHORT）；
}
if（size ）
{
cksum += *（UCHAR*）buffer；
} cksum = （cksum >> 16） + （cksum & 0xffff）；
cksum += （cksum >>16）；
return （USHORT）（~cksum）；
}

int main（int argc, char* argv[]）
{
WSADATA WSAData；
SOCKET sock；
SOCKADDR_IN addr_in；
IPHEADER ipHeader；
TCPHEADER tcpHeader；
PSDHEADER psdHeader；

char szSendBuf[60]={0}；
BOOL flag；
int rect,nTimeOver；

usage（）；

if （argc!= 3）
{ return false； }

if （WSAStartup（MAKEWORD（2,2）, &WSAData）!=0）
{
printf（"WSAStartup Error!\n"）；
return false；
}

if （（sock=WSASocket（AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED））==INVALID_SOCKET）
{
printf（"Socket Setup Error!\n"）；
return false；
}
flag=true；
if （setsockopt（sock,IPPROTO_IP, IP_HDRINCL,（char *）&flag,sizeof（flag））==SOCKET_ERROR）
{
printf（"setsockopt IP_HDRINCL error!\n"）；
return false；
}

nTimeOver=1000；
if （setsockopt（sock, SOL_SOCKET, SO_SNDTIMEO, （char*）&nTimeOver, sizeof（nTimeOver））==SOCKET_ERROR）
{
printf（"setsockopt SO_SNDTIMEO error!\n"）；
return false；
}
addr_in.sin_family=AF_INET；
addr_in.sin_port=htons（atoi（argv[2]））；
addr_in.sin_addr.S_un.S_addr=inet_addr（argv[1]）；