Idle scanning的原理可以通过下面的图简单理解:
| Pirate | 攻击者 |
|---|---|
| Cible | 其他主机/受害者 |
| Zombie | 被扫描的主机 |
Step 1
攻击者向Zombie发送SYN/ACK的包, 这时Zombie返回RST, IPID=x
Step 2
攻击者向其他主机发送SYN, 并通过IP欺骗的方法, 将IP设置为zombie的IP.
cible接受到包以后, 会向zombie发送SYN/ACK, 而zombie会回复cible, 这时IPID=x+1
Step 3
攻击者重新第一步的动作, 向zombie发送SYN/ACK, 比较这时候返回的IPID和第一步的IPID的值的变化
| IPID的变化 | 结论 |
|---|---|
| 增加了2 | 端口开放 |
| 无变化 | 端口关闭 |
注意: 这只是在理想情况下的分析, 即只有这三台主机之间通信, zombie没有回应过除pirate和cible之外的其他主机. 实际情况会更加复杂.