端口敲击

对手可能会使用端口敲击来隐藏用于持久性或命令和控制的开放端口。为了启用端口，对手会向一系列预定义的关闭端口发送一系列尝试连接。在完成序列后，通常由主机防火墙打开端口，但也可以由自定义软件实现。 这种技术已被观察到用于动态打开监听端口以及在不同系统上启动与监听服务器的连接。 可以通过不同的方法观察触发通信的信号包。一种方法，最初由 Cd00r 实现 (引用: Hartrell cd00r 2002)，是使用 libpcap 库嗅探相关数据包。另一种方法利用原始套接字，使恶意软件能够使用其他程序已打开的端口。