欢迎各位彦祖与热巴畅游本人专栏与博客
你的三连是我最大的动力
以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]

专栏跑道一

➡️网络空间安全——全栈前沿技术持续深入学习 

专栏跑道二

➡️ 24 Network Security -LJS 
​

​

专栏跑道三

 ➡️ MYSQL REDIS Advance operation

专栏跑道四

➡️HCIP；H3C-SE;CCIP——LJS[华为、华三、思科高级网络]
​

专栏跑道五

➡️RHCE-LJS[Linux高端骚操作实战篇]​

专栏跑道六

➡️数据结构与算法[考研+实际工作应用+C程序设计]

专栏跑道七

➡️RHCSA-LJS[Linux初级及进阶骚技能]

上节回顾

项目实战 1-使用 scapy 定制数据包进行高级扫描

1.scapy 定制 ARP 协议

root㉿kali-2024)-[/home/ljs/Desktop]
└─# scapy        
INFO: Can't import PyX. Won't be able to use psdump() or pdfdump().
 

如果提示 INFO 找不到某个模块可以使用 如下命令

apt-get install python-matplotlib

安装时我们输入 exit（） 退出 scapy

>>> exit()

再次输入

apt-get install python-matplotlib
 
再次进入就没有提示信息了

Craft 精心制作

• 我们使用 ARP().display()来查看 ARP 函数的用法
• 

上图详解说明：

###[ ARP ]###  # ARP 数据包的开始标记
 
  hwtype    = Ethernet (10Mb)  # 硬件类型：以太网 (10Mb/s)
  # 这是 ARP 使用的硬件类型，表示使用的是以太网。
 
  ptype     = IPv4              # 协议类型：IPv4
  # 表示被解析的协议类型是 IPv4（互联网协议版本4）。
 
  hwlen     = None              # 硬件地址长度：未定义
  # 硬件地址的长度，通常以太网地址为 6 字节，这里为 None 可能是未被设置。
 
  plen      = None              # 协议地址长度：未定义
  # 协议地址的长度，IPv4 地址通常为 4 字节，这里也为 None 可能是未被设置。
 
  op        = who-has           # 操作码：请求方谁拥有（who-has）
  # 表示 ARP 操作的类型，这里是请求 (who-has)，询问特定 IP 地址的 MAC 地址。
 
  hwsrc     = 00:0c:29:08:d2:3a  # 源硬件地址：00:0c:29:08:d2:3a
  # 发送此 ARP 请求的设备的 MAC 地址。
 
  psrc      = 192.168.79.135    # 源协议地址：192.168.79.135
  # 发送此 ARP 请求的设备的 IP 地址。
 
  hwdst     = 00:00:00:00:00:00  # 目标硬件地址：00:00:00:00:00:00
  # 目标设备的 MAC 地址，此处为全零，表示不确定或广播请求。
 
  pdst      = 0.0.0.0            # 目标协议地址：0.0.0.0
  # 目标设备的 IP 地址，此处为 0.0.0.0，通常表示该请求是为了查找某个具体的 IP 地址。

示例1:定义向 192.168.1.1 发送 arp 请求的数据包

>>> sr1(ARP(pdst="192.168.79.2"))
 
sr1 函数作用：sr1 函数包含了发送数据包和接收数据包的功能。

Begin emission:
.........................Finished sending 1 packets.
...*
Received 29 packets, got 1 answers, remaining 0 packets
<ARP hwtype=0x1 ptype=0x800 hwlen=6 plen=4 op=is-at hwsrc=f0:98:38:b8:e0:92
psrc=192.168.1.1 hwdst=00:0c:29:6a:cf:1d pdst=192.168.1.53 |<Padding
load='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
|>>

退出 scapy

 
>>> exit() 

• 发现源地址 psrc=192.168.79.2，说明已经收到网关的应答包。

1.2scapy 定制 PING 包

• Scapy 的功能是非常强大的，我们前面只是简单的介绍了他的 ARP 探测方式，下面我们简单讲一下IP/ICMP 的方式

如下命令可以直接看到我们的数据包格式

IP().display()
 
###[ IP ]###  # IP 数据包的开始标记
 
  version   = 4                  # 版本：4
  # 表示 IP 协议的版本，这里是 IPv4（互联网协议版本4）。
 
  ihl       = None               # 首部长度：未定义
  # 表示 IP 首部的长度，通常以 32 位字为单位，None 表示未设置。
 
  tos       = 0x0                # 服务类型：0x0
  # 服务类型字段，用于指示数据包的优先级和处理方式，此处为 0，表示默认优先级。
 
  len       = None               # 总长度：未定义
  # 包含 IP 首部和数据部分的总长度，通常以字节为单位，None 表示未设置。
 
  id        = 1                  # 标识符：1
  # 用于标识数据包的唯一标识符，通常在分片时使用。
 
  flags     =                     # 标志位：无
  # 用于控制数据包的分片行为，此处没有设置标志。
 
  frag      = 0                  # 分片偏移：0
  # 表示数据包是否分片及其偏移量，0 表示没有分片。
 
  ttl       = 64                 # 生存时间：64
  # 表示数据包在网络中的最大生存时间，通常用于防止数据包在网络中无休止地传播，值为 64。
 
  proto     = hopopt             # 协议：hopopt
  # 表示上层协议的类型，此处为 “hopopt”，即跳跃选项协议。
 
  chksum    = None               # 校验和：未定义
  # 用于验证 IP 数据包的完整性，None 表示未计算校验和。
 
  src       = 127.0.0.1         # 源地址：127.0.0.1
  # 发送数据包的设备的 IP 地址，此处为回环地址，表示本地设备。
 
  dst       = 127.0.0.1         # 目标地址：127.0.0.1
  # 接收数据包的设备的 IP 地址，此处为回环地址，表示本地设备。
 
  \options   \                   # 选项：无
  # IP 数据包可以包含选项字段，此处没有设置选项。

ICMP().display()
 

注意：

• IP()生成 ping 包的源 IP 和目标 IP ，ICMP() 生 ping 包的类型。
• 使用 IP()和 ICMP()两个函数，可以生成 ping 包，进行探测。

思路：

1. 修改 IP 包头的 dst，也就是我们的目的地址
2. 拼接上 ICMP 的数据包类型
3. 使用 sr1()进行发送数据包并接收数据包

>>> sr1(IP(dst="192.168.1.1")/ICMP(),timeout=1)

注意：

• 大家复制命令时，>>>提示符和命令之间不能有空格。

1.3scapy 定制 TCP 协议 SYN 请求

• tcp 三次握手过程中 flags 的标记
• 

查看 TCP()函数的用法 

>>>  TCP().display()
###[ TCP ]### 
  sport     = ftp_data
  dport     = http
  seq       = 0
  ack       = 0
  dataofs   = None
  reserved  = 0
  flags     = S
  window    = 8192
  chksum    = None
  urgptr    = 0
  options   = ''
 
 
 查看TCP()函数的用法字段详解说明
 
 
 ###[ TCP ]###  # TCP 数据包的开始标记
 
  sport     = ftp_data           # 源端口：ftp_data
  # 表示发送方使用的端口号，此处为 FTP 数据端口，通常为 20。
 
  dport     = http               # 目标端口：http
  # 表示接收方使用的端口号，此处为 HTTP 端口，通常为 80。
 
  seq       = 0                  # 序列号：0
  # 表示数据包的序列号，用于跟踪数据流的顺序，此处为 0，通常在连接建立时。
 
  ack       = 0                  # 确认号：0
  # 表示期望接收的下一个序列号，此处为 0，可能表示此数据包为初始连接。
 
  dataofs   = None               # 数据偏移：未定义
  # 表示 TCP 首部的长度，通常以 32 位字为单位，None 表示未设置。
 
  reserved  = 0                  # 保留字段：0
  # 保留字段，通常用于将来的扩展，当前设置为 0。
 
  flags     = S                  # 标志位：S (SYN)
  # 表示 TCP 标志位，这里为 SYN，表示这是一个连接请求数据包。标志域，紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN
 
  window    = 8192               # 窗口大小：8192
  # 表示接收方可以接收的数据量，单位为字节，这里为 8192。
 
  chksum    = None               # 校验和：未定义
  # 用于验证 TCP 数据包的完整性，None 表示未计算校验和。
 
  urgptr    = 0                  # 紧急指针：0
  # 指示紧急数据的结束位置，此处为 0，表示没有紧急数据。
 
  options   = ''                 # 选项：无
  # TCP 数据包可以包含选项字段，此处没有设置选项。

sr1(IP(dst="192.168.1.1")/TCP(flags="S" ,dport=80),timeout=1)
 
flags=”S”表示 SYN 数据包
 
dport=80 表示目标端口 80

• 我们的到一个 flags=SA 的数据包。
• SA 标志即 SYN+ACK。我们收到服务器 tcp 三次握手中的第二个包，能收到回应，表示端口开放。

注意:这种基于 tcp 的半链接扫描，更隐密，更不容易被发现。 

2.实战 2-僵尸扫描

简介：

• 僵尸主机：僵尸主机是指感染僵尸程序病毒，从而被黑客程序控制的计算机设备。
• 但是僵尸扫描中的僵尸主机指得是一个闲置的操作系统（这里的闲置是指主机不会主动和任何人通信），且此系统中 IP 数据包中 ID 是递增的。
• IPID：指的是通信过中，IP 数据包中的 ID。

僵尸扫描拥有极高的隐蔽特性，但是实施条件苛刻。

1. 目标网络可伪造源地址进行访问
2. 选择僵尸机，僵尸机需要在互联网上是一个闲置的操作系统，需要系统使用递增的 IPID，比如：XP 系统。

示例：

nmap 和 ping 都会直接和目标机器接触。 如何可以不直接目标主机接触，还可以探测出目标主机是否开放端口？

前提

• 你在公网或局域网上先拿到了肉机。
• 僵尸扫描可以不拿到肉机权限，只要对方的 IPID 是自增长上的就可以了。

2.2僵尸扫描原理

端口开放状态扫描原理：

• TCP 三次握手发包过程中，SYN/ACK 是第二次包。
• 

第一步：黑客的收获是：知道了僵尸主机的 IPID。

（1）、攻击者向僵尸机发送 SYN/ACK 确认包。
（2）、僵尸主机返回我们 RST 数据包关闭链接，数据包中包含了 IPID 信息。假设 IPID=X
 

注意：三次握手的第一个包是 SYN，目标主机收到 SYN 才会应答 SYN/ACK，因为僵尸主机没有向我们发送 SYN 请求。所以僵尸主机返回我们 RST 数据包关闭链接。

第二步：黑客的收获是：如果目标主机端口开放，让僵尸主机的 IPID+1

1. 攻击者修改 IP 包头的 SRC 字段为僵尸主机的 IP，伪装成僵尸主机给目标主机发 SYN 请求。
2. 目标主机收到请求，如果端口是开放的就会返回给僵尸主机一个 SYN/ACK 的数据包。
3. 僵尸主机收到目标主机发来的 SYN/ACK 确认包，因为僵尸主机没有给你发 SYN 请求。所以僵尸主机给目标主机返回了一个 RST 数据包。这个数据包表示关闭连接。

第三步：

• 攻击者再次向僵尸主机发送 SYN/ACK 确认包
  
• 僵尸主机同样向攻击者返回了一个 RST 数据包，此僵尸主机对外又发出一个数据包，所以僵尸主机的 IPID 值再+1。此时 IPID 值为 X+2。

第四步：计算 3 次通信过中的 IPID 值。

1. 攻击者查看僵尸主机返回的数据包中 IPID 值为 X+2。
   
2. 攻击者对比在第一步中的 IPID 值 X，发现增加了 2,则可以肯定目标主机和僵尸主机通信了，能通信，就说明目标主机端口是开放的。

结论：

肯定目标主机和僵尸主机没有通信了。没能通信，就说明目标主机端口是关闭的。

3.僵尸扫描-实战演练

• centos7 系统镜像和安装视频链接
• 提取码：3vt7
• XP 系统下载
• 链接
• 提取码:p43p

演练初始化

• 一台 XP 的虚拟机为僵尸主机，IP 地址为 192.168.1.54 并关闭 XP 系统的防火墙
• xuegod63 为目标主机，IP 地址为 192.168.1.63 确认 sshd 服务能够正常访问。

XP 安装完后，要关闭防火墙：

第一步：给僵尸主机发送的 SYN/ACK 数据包，将返回的数据包存入 rz1

rz1=sr1(IP(dst="192.168.1.54")/TCP(dport=445,flags="SA"))
 
命令详解：
 
rz1 表示定义了一个变量来接受我们返回的数据包
 
dst 表示我们的僵尸主机 IP
 
dport=445 表示我们向僵尸主机的 445 端口发送数据包，XP 主机的 445 端口一般都是开启状态
 
flags=“SA”表示发送 SYN/ACK

查看一下 IPID

>>> rz1.display()
 
display()表示查看变量中的内容。我们只需要查看 IP 下面的 ID 字段即可

第二步：攻击者修改 IP 包头的 SRC 字段为僵尸主机的 IP，伪装成僵尸主机给目标主机发 SYN 请求。

rt=sr1(IP(src="192.168.1.54",dst="192.168.1.63")/TCP(dport=22),timeout=1)
 
命令详解
 
rt 表示定义了一个变量来接受我们返回的数据包
 
src 表示伪造成僵尸主机的 IP 地址
 
dst 表示将数据包发送目标主机
 
dport 目标端口
 
timeout 超时时间

第三步：攻击者再次向僵尸主机发送 SYN/ACK 确认包，获得 IPID

rz2=sr1(IP(dst="192.168.1.54")/TCP(dport=445,flags="SA"))

实验结果查看

>>> rz1.display()

>>> rz2.display()

• 539-537=2 表示端口开放

测试端口不开放的情况

• 将第二步的端口修改成 222 因为 222 肯定是没有开启的端口

  >>>rz1=sr1(IP(dst="192.168.1.54")/TCP(dport=445,flags="SA"))
   
  >>>rt=sr1(IP(src="192.168.1.54",dst="192.168.1.63")/TCP(dport=222),timeout=1)
   
  >>>rz2=sr1(IP(dst="192.168.1.54")/TCP(dport=445,flags="SA"))
   
  >>> rz1.display()

• 

>>> rz2.display()

• 我们可以看到 549 、550 结果为+1 即端口为关闭状态

4. 使用 nmap 进行僵尸扫描

4.1扫描 192.168.1.0 网段中某些机器可以作为僵尸主机

root@xuegod53:~# nmap 192.168.1.0/24 -p1-1024 --script=ipidseq.nse > a.txt
 
-p1-1024 #指定扫描的端口范围为 1 到 1024。只扫描常用端口就可以了
 
--script=ipidseq.nse 判断主机是否可以当做僵尸主机

root@xuegod53:~# vim a.txt #在文档中查找关键字 Incremental

• Incremental  增量式;增量备份;增量的;渐进的;增量法
  
• 表示主机 IPID 为递增，可以做为僵尸主机。
  
• 另外发现 192.168.1.32 也可以的。

192.168.1.32 是一台什么服务器，是哪个厂商？ 

root@xuegod53:~# netdiscover

补充：

• 我们发现不仅 XP 可以做僵尸主机，各种 android 手机的 IPID 也是递增，也可以做僵尸主机。

root@xuegod53:~# nmap 192.168.1.63 -sI 192.168.1.54 -p1-100
 
-sI 参数表示指定僵尸主机进行扫描目标主机。注意是大写的 I