端口试探

端口试探是一种较为成熟的技术，目的是隐藏开放的端口以控制访问，攻击者和防御者均可使用。
为了启用端口，攻击者需发送一系列具有特定特征的数据包。
通常，这些数据包包含关闭端口预定义的尝试序列（译者注：称为敲门序列），这可能涉及不常见的标志、特定的字符串或其他特征。
完成序列，通常由基于主机的防火墙开启端口，但也可以由自定义软件打开。
在动态开启监听端口和在不同系统上启动与监听服务器的连接时，都可以见到该技术。
可以通过不同的方法观察引发通信的数据包。
一种方法（最初由 Cd00r 实现）是使用 libpcap 库嗅探有问题的包。
另一种方法利用了原始套接字，这使得恶意软件可以使用供其他程序使用的开放端口。

缓解

可以通过使用状态防火墙来缓解此技术的某些变体，具体取决于它的实现方式。

检测

记录发送到系统和从系统发出的网络数据包，查找不属于已建立的流的无关数据包。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn