圣诞快乐｡∠(*·ｍ·)v 你知道圣诞扫描吗？

你好。
我是系统解决方案部门的 Kawa。

年底过得真快。
到了下午 5 点，外面已经天黑了，寒冷，我想在每年的这个时候在被炉下取暖并玩 Switch。

十二月意味着圣诞节。
虽然圣诞老人已经很久没有来看望我了，但
看到闪闪发光的城市景观还是很美好很迷人∠(*·ｍ·)v

正如标题所说，IT也和圣诞节有关。
你知道“圣诞（树）扫描”吗？
这是网络攻击的一个名字，而且很有趣，技术人员有很多杜撰的词
（尽管实际上被攻击并不是很有趣），
所以我想这次我应该写一些关于这次圣诞节扫描的内容。

什么是圣诞节扫描？

它有多种名称，例如圣诞节扫描和圣诞树攻击，但这
来自数据包中的控制标志。

我认为攻击者通常使用隐形扫描作为端口扫描方法来避免被抓住

数据包（我们这次讨论的是 TCP）有一个 6 位部分，称为控制标志，
它控制连接。 ACK和SYN很有名。
以下三个用于圣诞节扫描。

URG（紧急） ——包含需要紧急处理的数据（优先级）

PSH (Push) - 立即将数据传递到上层而不进行缓冲

RST（重置） - 强制断开连接

除了 RST 之外，它可能是一个您不习惯听到的标志。

其作为第一个数据包发送来测试目标的反应

为什么圣诞节？

如上所述，这与升起的三面旗帜有关，但对我来说根本没有任何意义。
实际上，这需要使用Wireshark等进行数据包捕获和可视化，但

标志部分是彩色的。另外，flag结构是在树的右半部分吗？
因为它具有圆锥形的形状，看起来就像是对树进行了装饰。

这么

认为

为什么这是一次攻击？

它更像是端口扫描而不是攻击，因此可以更准确地称为“攻击准备”。
如您所知，TCP 数据包遵循 SYN~ACK~FIN 等 3 次握手流程。
但是，如果该流被忽略并且出现状态外的数据包怎么办？

- 如果相应的端口打开，则
如果端口打开，
基本上不会有任何响应
这意味着，通过未收到响应，第三方可以轻松发现端口已打开

- 如果对应的端口没有打开
这种情况是不允许的，所以基本上返回的是一个RST包。
然而，发件人会知道它已“关闭”。

顺便说一句，Windows规范似乎无论打开还是关闭都会以RST响应，因此
操作系统有可能被泄露。
此外，行为会根据防火墙或UTM而变化，例如是否抛出RST，
因此根据与其他攻击的组合，开放端口可能会被泄露。

完全的