Scan，是一切入侵的基礎，掃描探測一臺主機包括是為了確定主機是否活動、主機系統、正在使用哪些端口、提供了哪些服務、相關服務的軟件版本等等，對這些內容的探測就是為了“對癥下藥”。對主機的探測工具非常多，比如大名鼎鼎的nmap、netcat、superscan，以及國內的X-Scanner等等。

　　ICMP協議——PING是常用的，也是簡單的探測手段，用來判斷目標是否活動。實際上Ping是向目標發送一個要求回顯（Type = 8）的ICMP數據報，當主機得到請求后，再返回一個回顯（Type = 0）數據報。而且Ping 程序一般是直接實現在系統內核中的，而不是一個用戶進程。Ping是基本的探測手段，Ping Sweep（Ping掃射）就是對一個網段進行大范圍的Ping，由此確定這個網段的網絡運作情況，比如的fping工具就是進行Ping掃射的。

　　不過現在連基本的個人防火墻都對Ping做了限制，這個也太基本了。如果透過防火墻，如何獲得理想的目標圖，也是很多人整天思考的問題。我們這里介紹的一些掃描技術就是要盡可能地繞過一些安全防護設備，并且盡量保護自己，同時達到我們需要的目的。

　　一、ICMP掃描技術

　　Ping就是利用ICMP協議走的，的ICMP掃描技術主要是利用ICMP協議基本的用途：報錯。根據網絡協議，如果按照協議出現了錯誤，那么接收端將產生一個ICMP的錯誤報文。這些錯誤報文并不是主動發送的，而是由于錯誤，根據協議自動產生。

　　當IP數據報出現checksum和版本的錯誤的時候，目標主機將拋棄這個數據報，如果是checksum出現錯誤，那么路由器就直接丟棄這個數據報了。有些主機比如AIX、HP-UX等，是不會發送ICMP的Unreachable數據報的。

　　我們利用下面這些特性：

　　1、向目標主機發送一個只有IP頭的IP數據包，目標將返回Destination Unreachable的ICMP錯誤報文。

　　2、向目標主機發送一個壞IP數據報，比如，不正確的IP頭長度，目標主機將返回Parameter Problem的ICMP錯誤報文。

　　3、當數據包分片但是，卻沒有給接收端足夠的分片，接收端分片組裝超時會發送分片組裝超時的ICMP數據報。

　　向目標主機發送一個IP數據報，但是協議項是錯誤的，比如協議項不可用，那么目標將返回Destination Unreachable的ICMP報文，但是如果是在目標主機前有一個防火墻或者一個其他的過濾裝置，可能過濾掉提出的要求，從而接收不到任何回應。可以使用一個非常大的協議數字來作為IP頭部的協議內容，而且這個協議數字至少在今天還沒有被使用，應該主機一定會返回Unreachable，如果沒有Unreachable的ICMP數據報返回錯誤提示，那么就說明被防火墻或者其他設備過濾了，我們也可以用這個辦法來探測是否有防火墻或者其他過濾設備存在。

　　利用IP的協議項來探測主機正在使用哪些協議，我們可以把IP頭的協議項改變，因為是8位的，有256種可能。通過目標返回的ICMP錯誤報文，來作判斷哪些協議在使用。如果返回Destination Unreachable，那么主機是沒有使用這個協議的，相反，如果什么都沒有返回的話，主機可能使用這個協議，但是也可能是防火墻等過濾掉了。NMAP的IP Protocol scan也就是利用這個原理。

　　利用IP分片造成組裝超時ICMP錯誤消息，同樣可以來達到我們的探測目的。當主機接收到丟失分片的數據報，并且在一定時間內沒有接收到丟失的數據報，就會丟棄整個包，并且發送ICMP分片組裝超時錯誤給原發送端。我們可以利用這個特性制造分片的數據包，然后等待ICMP組裝超時錯誤消息。可以對UDP分片，也可以對TCP甚至ICMP數據包進行分片，只要不讓目標主機獲得完整的數據包就行了，當然，對于UDP這種非連接的不可靠協議來說，如果我們沒有接收到超時錯誤的ICMP返回報，也有可能時由于線路或者其他問題在傳輸過程中丟失了。

　　我們能夠利用上面這些特性來得到防火墻的ACL（access list），甚至用這些特性來獲得整個網絡拓撲結構。如果我們不能從目標得到Unreachable報文或者分片組裝超時錯誤報文，可以作下面的判斷：

　　1、防火墻過濾了我們發送的協議類型

　　2、防火墻過濾了我們指定的端口

　　3、防火墻阻塞ICMP的Destination Unreachable或者Protocol Unreachable錯誤消息。

　　4、防火墻對我們指定的主機進行了ICMP錯誤報文的阻塞。

　　二、TCP掃描技術

　　基本的利用TCP掃描就是使用connect()，這個很容易實現，如果目標主機能夠connect，就說明一個相應的端口打開。不過，這也是原始和被防護工具拒絕的一種。

　　在的TCP掃描技術中主要利用TCP連接的三次握手特性和TCP數據頭中的標志位來進行，也就是所謂的半開掃描。

　　先認識一下TCP數據報頭的這六個標志位。

　　URG：（Urgent Pointer field significant）緊急指針。用到的時候值為1，用來處理避免TCP數據流中斷

　　ACK：（Acknowledgment field significant）置1時表示確認號（Acknowledgment Number）為合法，為0的時候表示數據段不包含確認信息，確認號被忽略。

PSH：（Push Function），PUSH標志的數據，置1時請求的數據段在接收方得到后就可直接送到應用程序，而不必等到緩沖區滿時才傳送。

　　RST：（Reset the connection）用于復位因某種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤。

　　SYN：（Synchronize sequence numbers）用來建立連接，在連接請求中，SYN=1，ACK=0，連接響應時，SYN=1，ACK=1。即，SYN和ACK來區分Connection Request和Connection Accepted。

　　FIN：（No more data from sender）用來釋放連接，表明發送方已經沒有數據發送了。

　　TCP協議連接的三次握手過程是這樣的：

　　首先客戶端（請求方）在連接請求中，發送SYN=1，ACK=0的TCP數據包給服務器端（接收請求端），表示要求同服務器端建立一個連接；然后如果服務器端響應這個連接，就返回一個SYN=1，ACK=1的數據報給客戶端，表示服務器端同意這個連接，并要求客戶端確認；客戶端就再發送SYN=0，ACK=1的數據包給服務器端，表示確認建立連接。

　　我們就利用這些標志位和TCP協議連接的三次握手特性來進行掃描探測。

　　SYN 掃描

　　這種掃描方式也被稱為“半打開” 掃描，因為利用了TCP協議連接的步，并且沒有建立一個完整的TCP連接。

　　實現辦法是向遠端主機某端口發送一個只有SYN標志位的TCP數據報，如果主機反饋一個SYN || ACK數據包，那么，這個主機正在監聽該端口，如果反饋的是RST數據包，說明，主機沒有監聽該端口。在X-Scanner 上就有SYN的選擇項。

　　ACK 掃描

　　發送一個只有ACK標志的TCP數據報給主機，如果主機反饋一個TCP RST數據報來，那么這個主機是存在的。也可以通過這種技術來確定對方防火墻是否是簡單的分組過濾，還是一個基于狀態的防火墻。

　　FIN

　　對某端口發送一個TCP FIN數據報給遠端主機。如果主機沒有任何反饋，那么這個主機是存在的，而且正在監聽這個端口；主機反饋一個TCP RST回來，那么說明該主機是存在的，但是沒有監聽這個端口。

　　NULL

　　即發送一個沒有任何標志位的TCP包，根據RFC793，如果目標主機的相應端口是關閉的話，應該發送回一個RST數據包。

　　FIN+URG+PUSH

　　向目標主機發送一個Fin、URG和PUSH分組，根據RFC793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標志。

　　上面這些辦法可以繞過一些防火墻，從而得到防火墻后面的主機信息，當然，是在不被欺騙的情況下的。這些方法還有一個好處就是比較難于被記錄，有的辦法即使在用netstat命令上也根本顯示不出來，而且一般的安全防護設備也根本不記錄這些內容，這樣能夠更好地隱藏自己。

　　三、UDP掃描技術

　　在UDP實現的掃描中，多是了利用和ICMP進行的組合進行，這在ICMP中以及提及了。還有一些特殊的就是UDP回饋，比如SQL SERVER，對其1434端口發送‘x02’或者‘x03’就能夠探測得到其連接端口。