圣诞快乐｡∠(*・м・)v 你知道圣诞扫描吗？

您好，
我是系统解决方案部门的川。

一年即将结束，时间过得真快。
下午五点外面就已经天黑了，天气也很冷，所以我只想舒舒服服地窝在暖桌里玩一整天的Switch游戏。

十二月是圣诞节的月份。
圣诞老人已经很久没来拜访我了，
不过看到街道上闪烁着五彩缤纷的光芒，感觉真好。∠(*・m・)v

正如标题所示，IT界也跟圣诞节有关。
你听说过“圣诞树扫描”吗？
这是一种网络攻击的名称，技术人员为此创造了许多术语，这很有趣
（虽然真正遭受攻击可就一点也不好笑了），
所以我今天想写写关于这种“圣诞树扫描”的文章。

什么是圣诞扫描？

它有多种名称，例如圣诞扫描或圣诞树攻击，
其名称来源于数据包中的控制标志。

通常使用隐蔽扫描作为端口扫描方法以避免被发现，

数据包（这里指的是 TCP 数据包）包含一个 6 位控制标志位，
用于控制连接。ACK 和 SYN 是众所周知的标志位。
圣诞节扫描会用到以下三个标志位：

URG（紧急） - 包含需要紧急处理（优先级）的数据

PSH（推送） ——无需缓冲，立即将数据传递给上一层。

RST（重置） - 强制断开连接

除了 RST 标志之外，这些标志你可能不太熟悉。
“圣诞扫描”是一种攻击方法，它将这三个标志的位设置为“1”，并将
它们作为第一个数据包发送出去，以测试目标的反应。

为什么是圣诞节？

如上所述，这是因为设置了三个标志位，但这似乎不太合理，对吧？
实际上，你需要抓取数据包并使用 Wireshark 或类似工具进行可视化，但

这些标志位是彩色的。此外，标志位结构呈圆锥形，就像树的右半部分一样，所以
看起来就像树被涂上了颜色，这大概就是它得名的原因吧。

⬇

这种情况并不常见。

为什么这是一次攻击？

与其说是攻击，不如说是端口扫描，因此更准确地说，应该称之为“攻击准备”。
如您所知，TCP 数据包遵循三次握手序列：SYN-ACK-FIN。
但如果出现一个状态异常的数据包，忽略了这一序列，会发生什么呢？

如果端口已打开，
其行为会因操作系统而异，但由于它并非 SYN 或其他类似协议，因此如果端口已打开，

意味着第三方可以很容易地判断出端口已打开

如果端口未打开
，发送方将收到 RST 数据包，
但端口将处于关闭状态。

顺便一提，Windows 系统似乎无论端口是打开还是关闭都会返回 RST 响应，因此
操作系统信息有可能被泄露。
此外，防火墙和统一威胁管理 (UTM) 设备的行为也会因是否返回 RST 响应而改变，因此，
如果与其他攻击相结合，开放端口也可能被暴露。

完全的