Syn掃描——全面剖析

一、Syn掃描是什麼

Syn掃描（SYN scan），是一種用於對主機或網絡上的端口進行探測的技術。它的基本原理是通過發送TCP SYN包來探測一個主機或網絡上是否有端口處於監聽狀態。

這種掃描技術得名於TCP協議規範中的一個步驟，也就是三次握手。它向目標計算機發送一個SYN（同步）標誌，並等待它發回SYN/ACK（同步/確認）標誌。掃描器如果收到這個標誌，就會發一個RST（複位）標誌，關閉與目標的連接。如果沒有收到回復，說明目標計算機沒有響應，就會默認端口是關閉的。

Syn掃描技術通過一種非常靈活的方式繞過了大多數防火牆及入侵檢測設備規則的檢測，是網絡管理員和安全人員常用的一種端口掃描工具。

二、Syn掃描的特點

Syn掃描具有以下幾個特點：

1. 速度快：Syn掃描與其他掃描方式相比，掃描速度最快，適用於對端口進行全面、快速的掃描。
2. 難以被檢測：Syn掃描利用TCP協議的三次握手過程，發送SYN標誌來探測端口是否開放，不會完成TCP連接，因此可以使得掃描者的IP地址難以被檢測。
3. 佔用資源低：Syn掃描發送的幾個數據包很少，佔用網絡資源很少，在目標主機上也不會產生大量的連接、日誌等佔用資源的記錄，不會對主機產生大的負擔。

三、Syn掃描如果端口關閉

如果目標主機的某個端口關閉，那麼在掃描到該端口時，目標主機不會響應SYN請求，也不會回復SYN/ACK響應，因而掃描器會收到RST複位包，從而知道該端口是關閉的。

四、Syn掃描目標回應什麼

如果目標主機的某個端口是開放狀態，那麼當它收到Syn掃描器發送的SYN數據包後，就會回復一個SYN/ACK數據包給掃描器，以表示它已收到掃描器的請求，同時需要掃描器發送一個ACK數據包作為確認；當掃描器發出ACK數據包後，連接就建立完畢。

五、Syn掃描採用的傳輸層協議

Syn掃描利用的是TCP協議進行端口掃描。因為TCP協議建立的是可靠的連接，可以保證數據的完整性和可靠性，同時TCP協議規範中也定義了SYN/ACK、RST等標誌，方便Syn掃描的實現。

六、Fin掃描

Fin掃描是對TCP協議中FIN標誌位的一種探測方式，它工作原理是發送一個僅包含FIN標誌的TCP報文段。如果目標主機響應則說明相應的端口關閉，否則說明該端口是打開的或者被過濾掉了。Fin掃描的最大問題就在於消耗資源，每掃描一個端口都要耗費大量資源。

七、TCP Syn掃描

TCP Syn掃描是目前常用的一種端口掃描方式之一，它通過TCP協議的三次握手過程來完成對目標端口的掃描。TCP Syn掃描不像Fin掃描會給目標主機帶來太多的負荷，因此TCP Syn掃描是目前最為普遍和常用的端口掃描方式之一。

#Python示例代碼

import nmap

#創建nmap.PortScanner對象
nm = nmap.PortScanner()

#執行掃描（參數說明：SYN掃描，掃描到所有端口，掃描的目標主機或者IP段）
nm.scan(arguments='-sS -p 1-65535 192.168.1.1')

#獲取指定主機的某個端口的狀態
nm['192.168.1.1']['tcp'][80]['state']

八、Syn掃描斷網

掃描的時候，過快的掃描可能會導致局域網之間的正常通信受到影響。在掃描之前應先了解目標網絡環境和掃描方式，盡量避免發生意外。

九、Syn掃描特點

Syn掃描的主要特點是速度快、難以被檢測和佔用資源低，使得它成為網絡管理員和安全專家中最常用的端口掃描方法之一。它以TCP協議中三次握手（SYN、SYN/ACK、ACK）為基礎，向目標發送一個SYN包，然後根據目標的響應確認端口是否開放。如果目標端口關閉，則無法建立連接，掃描器會收到RST響應；如果開放，則會收到SYN/ACK響應，掃描器再發送確認的ACK數據包完成握手連接。因此，Syn掃描成為了網絡攻擊和侵入檢測中最常見的一種掃描方式之一，同時也是網絡運維和安全人員的常用工具。