第一部分，我們講述TCP連接的建立過程（通常稱作三階段握手），然后討論與掃描程序有關的一些實現細節。

　　然后，簡單介紹一下經典的掃描器（全連接）以及所謂的SYN（半連接）掃描器。

　　第三部分主要討論間接掃描和秘密掃描，還有隱藏攻擊源的技術。

　　秘密掃描基于FIN段的使用。在大多數實現中，關閉的端口對一個FIN 段返回一個RST，但是打開的端口通常丟棄這個段，不作任何回答。間接掃描，就像它的名字，是用一個欺騙主機來幫助實施，這臺主機通常不是自愿的。

　　第四部分介紹了一種與應用協議有關掃描。這些掃描器通常利用協議實現中的一些缺陷或者錯誤。認證掃描（ident scanning）也被成為代理掃描(proxy scanning)。

　　最后一部分，介紹了另外一些掃描技術。考慮了一些不是基于TCP端口和主要用來進行安全掃描的掃描工具（例如SATAN）。另外分析了使用掃描器的棧指紋。棧指紋通過檢測主機TCP并將應答跟已知操作系統TCP/IP協議棧應答相比較，解決了識別操作系統的問題。 　

　　一：TCP/IP相關問題

　　連接端及標記

　　IP地址和端口被稱作套接字，它代表一個TCP連接的一個連接端。為了獲得TCP服務，必須在發送機的一個端口上和接收機的一個端口上建立連接。TCP連接用兩個連接端來區別，也就是（連接端1，連接端2）。連接端互相發送數據包。

　　一個TCP數據包包括一個TCP頭，后面是選項和數據。一個TCP頭包含6個標志位。它們的意義分別為：

　　SYN: 標志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，則表示該數據包為連接請求，如果SYN=1而ACK=1則表示接受連接。

　　FIN: 表示發送端已經沒有數據要求傳輸了，希望釋放連接。

　　RST: 用來復位一個連接。RST標志置位的數據包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發送一個復位包。

　　URG: 為緊急數據標志。如果它為1，表示本數據包中包含緊急數據。此時緊急數據指針有效。

　　ACK: 為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效。

　　PSH: 如果置位，接收端應盡快把數據傳送給應用層。
TCP連接的建立

　　TCP是一個面向連接的可靠傳輸協議。面向連接表示兩個應用端在利用TCP傳送數據前必須先建立TCP連接。 TCP的可靠性通過校驗和，定時器，數據序號和應答來提供。通過給每個發送的字節分配一個序號，接收端接收到數據后發送應答，TCP協議保證了數據的可靠傳輸。數據序號用來保證數據的順序，剔除重復的數據。在一個TCP會話中，有兩個數據流（每個連接端從另外一端接收數據，同時向對方發送數據），因此在建立連接時，必須要為每一個數據流分配ISN（初始序號）。為了了解實現過程，我們假設客戶端C希望跟服務器端S建立連接，然后分析連接建立的過程（通常稱作三階段握手）：

　　1： C --SYN XXà S

　　2： C ?-SYN YY/ACK XX+1------- S

　　3： C ----ACK YY+1--à S

　　1：C發送一個TCP包（SYN 請求）給S，其中標記SYN（同步序號）要打開。SYN請求指明了客戶端希望連接的服務器端端口號和客戶端的ISN（XX是一個例子）。

　　2：服務器端發回應答，包含自己的SYN信息ISN（YY）和對C的SYN應答，應答時返回下一個希望得到的字節序號（YY+1）。

　　3：C 對從S 來的SYN進行應答，數據發送開始。

　　一些實現細節

　　大部分TCP/IP實現遵循以下原則：

　　1：當一個SYN或者FIN數據包到達一個關閉的端口，TCP丟棄數據包同時發送一個RST數據包。

　　2：當一個RST數據包到達一個監聽端口，RST被丟棄。

　　3：當一個RST數據包到達一個關閉的端口，RST被丟棄。

　　4：當一個包含ACK的數據包到達一個監聽端口時，數據包被丟棄，同時發送一個RST數據包。

　　5：當一個SYN位關閉的數據包到達一個監聽端口時，數據包被丟棄。

　　6：當一個SYN數據包到達一個監聽端口時，正常的三階段握手繼續，回答一個SYN　ACK數據包。

　　7：當一個FIN數據包到達一個監聽端口時，數據包被丟棄。"FIN行為"（關閉得端口返回RST，監聽端口丟棄包），在URG和PSH標志位置位時同樣要發生。所有的URG，PSH和FIN，或者沒有任何標記的TCP數據包都會引起"FIN行為"。//本文來自武林網www.companysz.com轉載請注明

二：全TCP連接和SYN掃描器

　　全TCP連接

　　全TCP連接是長期以來TCP端口掃描的基礎。掃描主機嘗試（使用三次握手）與目的機指定端口建立建立正規的連接。連接由系統調用connect()開始。對于每一個監聽端口，connect()會獲得成功，否則返回－1，表示端口不可訪問。由于通常情況下，這不需要什么特權，所以幾乎所有的用戶（包括多用戶環境下）都可以通過connect來實現這個技術。

　　這種掃描方法很容易檢測出來（在日志文件中會有大量密集的連接和錯誤記錄）