IDLE/IPID header scan adalah metoda TCP port scan yang mengirim alamat palsu ke target untuk mengetahui service yang tersedia. Attacker melakukan scanning dengan mengirim packet dari IP yang berbeda dari mesinnya, jadi menggunakan host yang berbeda yang sering disebut zombie, jadi jika remote host memeriksa IP pihak pemindaian, IP host zombie akan ditampilkan.
IDLE Scan
Setiap IP packet memiiki fragment internet protocol identification (IPID) number yang unik untuk mengidentifikasi fragments dari original IP datagram. Umumnya, OS secara sederhana melakukan penambahan angka dari setiap packet yang dikirim, probing IPID dapat memberikan informasi berapa banyak paket yang telah dikirim semenjak probe terakhir.
Step 1, mencari zombie yang tepat. Zombie yang akan menambahkan nilai IPID untuk melakukan IDLE scan. Makin pendek interval untuk request/response antara attacker-zombie dan zombie-target, makin cepat proses scan.
Pada langkah pertama ini, kita akan mengirim SYN+ACK packet ke mesin zombie untuk probe IPID number.
Karena mesin zombie tidak mengharapkan SYN+ACK packet, koneksi akan ditolak dengan mengirim RST packet. Ekstrak IPID dengan menganalisa RST packet yang dikirim mesin zombie. Pada gambar diatas, diasumsikan mesin zombie mengirim IPID=31337.
Step 2, attacker mengirim SYN packet ke mesin target pada port 80, spoofing (memalsukan) alamat dengan menggunakan IP addres mesin zombie.
Jika port open, target akan mengirimkan SYN+ACK packet ke mesin zombie untuk melakukan 3-way handshake. Karena mesin zombie tidak mengharapkan packet SYN+ACK dari mesin target, akan merespon dengan RST packet.
Karena setiap packet memiliki angka fragment identification, yang ditambahkan setiap kali packet ditransmisikan, mesin zombie akan menggunakan IPID berikutnya yaitu 31338 (31337 + 1).
Jika port closed, asumsikan target port closed. Ketika menerima SYN packet dari attacker, target akan merespon dengan RST, dan mesin zombie tetap idle, tidak melakukan aksi.
Step 3, kembali ke step 1, probe IPID number.
Kirimkan SYN+ACK packet ke mesin zombie, dimana akan direspon dengan RST packet yang berisi IPID number.
Asumsikan port open pada target, dan zombie sudah mengirimkan RST packet ke mesin target, maka IPID number sudah ditambahkan 1. Sekarang, mesin zombie akan merespon dengan RST packet ke attacker dengan menggunakan IPID berikutnya 31339 (31337 + 2). Karena IPID bertambah 2, maka target port open.
Dapat kita lihat, dengan menggunakan IDLE scan, kita dapat menentukan apakah target port terbuka atau tertutup.