【文章內(nèi)容簡介】 本身出發(fā)，不經(jīng)過任何隱藏通過發(fā)送探測性數(shù)據(jù)包來判斷目標(biāo)主機(jī)的端口開放情況。 圖 2 普通掃描技術(shù) 針 對(duì) 這種一對(duì)一的普通或快速的端口掃描技術(shù)，目前 端口掃描的檢測 技術(shù) 采用的方法有 Snort方法、 Watcher方法和 PortSentry方法等三種 ，都能很好的檢測出這種掃描 。 它們 進(jìn)行端口掃描檢測 采用的算法大致可以概括如下 ： 在 M秒內(nèi) ， 監(jiān)測從同一源端發(fā)出的數(shù)據(jù)包 , 如果其目的 IP與目的端口的組合數(shù)目超出 N的話 , 則認(rèn)為是一次掃描。 Snort是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)。它的探測引擎采用模塊化的插件結(jié)構(gòu) ,允許開發(fā)者擴(kuò)展 Snort的功能 , 也可以使得用戶可以按自己的需要定制功能。 Snort檢測端口掃描的方法是 ： 在 Y秒內(nèi) , 如果檢測到從同一個(gè)源發(fā)出 ,目的為不同的主機(jī)和端口的組合的 TCP或 UDP包的數(shù)目超出閾值 X, 則認(rèn)為是掃描。 其中 X和 Y的值可以由用戶自己設(shè)定。 另外 , Snort也同樣可以檢測有奇異標(biāo)志的 TCP包。 Watcher是一個(gè)比較完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計(jì)代碼。它檢測所有通過的信息包 , 并且將它認(rèn)為是惡意的攻擊行為記錄在 syslog中。它的檢測原理是 ： 如果在短時(shí)間內(nèi)有超過 7個(gè)以上的端口收到信息包 (不管類型如何 ) , 那么這一事件就被當(dāng)成端口掃描記錄下來。 PortSentry是基于主機(jī)的網(wǎng)絡(luò)入侵檢測系統(tǒng)的一個(gè)組成部分 ， 主要用來檢測外部對(duì)主機(jī)的端口掃描 ， 它能夠?qū)Χ喾N掃描方法進(jìn)行檢測。 它的檢測原理是 ： 對(duì)沒有開放服務(wù)的端口的訪問有可能是一次掃描。 通過監(jiān)測沒有開放服務(wù)的端口 ，在最近 n次連接里由同一個(gè)源發(fā)起的連接超過 X次則判斷為一次掃描。 以上幾種掃描 檢測 方法對(duì)端口掃描所采用的檢測技術(shù)都比較簡單 ， 且存在以下缺點(diǎn) ： 第 9 頁 共 23 頁 （ 1） 無法檢測慢速掃描 , 因?yàn)樵跈z測中時(shí)間窗是個(gè)固定值 , 只要掃描速度低于這個(gè)閾值 , 攻擊者就可以成功地逃避檢測 。 當(dāng)設(shè)定的時(shí)間閾值大到一定程度時(shí) ,需要從相當(dāng)長時(shí)間的網(wǎng)絡(luò)連接記錄 中找出掃描行為 ,系統(tǒng)資源消耗較大 ,無法適應(yīng)寬帶網(wǎng)絡(luò)尤其是高速網(wǎng)絡(luò)環(huán)境 。 從理論上講 ,黑客總能夠以略大于系統(tǒng)設(shè)定閾值的時(shí)間間隔進(jìn)行端口掃描 ； （ 2） 未考慮到受保護(hù)網(wǎng)段的特點(diǎn) , 對(duì)網(wǎng)段內(nèi)所有主機(jī)都采用相同的檢測策略 , 效率不高而且容易導(dǎo)致誤報(bào) 。 慢 速端口 掃描 檢測技術(shù)概述 慢速端口掃描是在普通端口掃描技術(shù)上進(jìn)化而來的，可以說是黑客技術(shù)提高的體現(xiàn)。 通常普通端口掃描的掃描者對(duì)被掃描者發(fā)送探測性數(shù)據(jù)包都是快速的，被掃描者在進(jìn)行捕包判斷上就會(huì)顯得比較容易，而慢速掃描與普通掃描一樣，都是一對(duì)一，即掃描者和被掃描者都只有一 個(gè)，但是其對(duì)目標(biāo)主機(jī)發(fā)送探測性數(shù)據(jù)包的時(shí)間間隔上就變化很大，可以在 1分鐘發(fā)送一個(gè)探測性數(shù)據(jù)包后 20分鐘再繼續(xù)發(fā)送探測性數(shù)據(jù)包，也或者在發(fā)送一個(gè)探測性數(shù)據(jù)包后時(shí)間就遞增，產(chǎn)生一個(gè)時(shí)間上的變化，總之給檢測端口掃描帶來了極大的困難，這就需要用新的規(guī)則，新的技術(shù)來進(jìn)行端口檢測。 在目前的慢速掃描檢測技術(shù)中，模糊技術(shù)是應(yīng)用的比較好的能檢測出慢速端口掃描的新型技術(shù)。 端口 掃描 的分布式檢測概述 在當(dāng)前端口掃描技術(shù)中，比較難以檢測的是分布式掃描，針對(duì)分布式掃描，不能采取對(duì)普通掃描及慢速掃描的檢測方法。 如下圖 3 所示，分布掃 描是指掃描者通過控制其他多臺(tái)計(jì)算機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行數(shù)據(jù)包探測，這樣，被掃描者所捕獲的數(shù)據(jù)包就是來自于不同的 IP，但是實(shí)際掃描者通過所控制的計(jì)算機(jī)對(duì)應(yīng)答數(shù)據(jù)包的分析依然能夠判斷出目標(biāo)主機(jī)的端口開放情況，被掃描者雖然所捕獲到的探測性數(shù)據(jù)包其 IP是正確的，但是受到了 IP 欺騙，并沒有判斷出真正的掃描者，在這種情況下通常的檢測方法對(duì)分布式掃描是無效的。當(dāng)然，在分布式掃描的基礎(chǔ)上加以慢速掃描，則是更加難以檢測的掃描技術(shù)。 第 10 頁 共 23 頁 圖 3 分布式掃描技術(shù) 在當(dāng)前的分布式掃描檢測技術(shù)中，最常用的是在進(jìn)行端口掃描檢測時(shí)，將系統(tǒng) 分成兩個(gè)部分： 第一部分是傳感器，它的功能是判斷一個(gè)包的異常程度，賦給包一個(gè)異常值。如果一個(gè)包有異常，則從網(wǎng)絡(luò)數(shù)據(jù)中過濾出來，進(jìn)行下一步的處理；如果一個(gè)包沒有異常，則簡單地丟棄。 第二部分是分析器，它對(duì)異常包進(jìn)行匯集、分類、分析。首先將異常包根據(jù)其不同特性分成不同的類，然后再對(duì)不同的類計(jì)算一個(gè)類的異常值總和。如果一個(gè)類的異常值總和超過了閾值，則判斷為掃描。在分布式端口掃描檢測系統(tǒng)中，傳感器分布在一個(gè)大網(wǎng)的各個(gè)子網(wǎng)內(nèi)，采集網(wǎng)絡(luò)上的各種有關(guān)掃描異常數(shù)據(jù)；而分類器是一個(gè)匯總的分析器，通過匯總分析網(wǎng)絡(luò)內(nèi)各個(gè)子網(wǎng)的數(shù) 據(jù)，可以更好地分析網(wǎng)絡(luò)上出現(xiàn)的掃描情況。 分布式檢測方法具有很多優(yōu)點(diǎn)： 首先，它能夠?qū)崿F(xiàn)分布式掃描的檢測。因?yàn)榉植际綊呙杵鋻呙璋哂幸欢ǖ漠惓Ｐ裕赃@些包可以被第一步的檢測從網(wǎng)絡(luò)數(shù)據(jù)中過濾出來。在第二步進(jìn)行分類分析的時(shí)候，由于這些分布式掃描的包具有一個(gè)共同的特性，即掃描對(duì)象是同一個(gè)主機(jī)或同一個(gè)端口，因此它們可以被聚集到一個(gè)類里，從而被檢測為掃描。其次，這種方法也能夠檢測慢速的掃描。由于網(wǎng)絡(luò)上巨大的通信量，所以在以前的檢測方法里檢測時(shí)間窗 T必須很小，否則會(huì)消耗掉太多的內(nèi)存和 CPU時(shí)間而癱瘓。而采用該方法，由 于分析器只需分析處理異常包，因此可以取一個(gè)很大的時(shí)間窗 T，從而檢測出慢速的掃描。 另外，分布式檢測方法具有很好的實(shí)時(shí)性。由于傳感器只需要判斷一個(gè)包的異常程度，而不需要判斷是否屬于掃描，因此可以實(shí)現(xiàn)一個(gè)很快的異常包過濾器。而傳統(tǒng)的檢測方法，例如， SNORT在接收到一個(gè)包以后，首先檢查包的結(jié)構(gòu)，然 第 11 頁 共 23 頁 后檢查現(xiàn)有的掃描列表，相對(duì)來說是很費(fèi)時(shí)間的。 異常包的檢測： 首先，需要有一個(gè)準(zhǔn)則來確定網(wǎng)絡(luò)上一個(gè)包的異常程度。通過分析已有的一些檢測工具、掃描工具、以及入侵者用以躲避掃描檢測的方法，總結(jié)出下面的包是異常的包： （ 1） 帶有奇怪標(biāo)志位的包有可能是掃描包； （ 2）沒有正確的執(zhí)行 TCP協(xié)議握手過程的包有可能是掃描包； （ 3）連接后馬上斷開，沒有具體協(xié)議內(nèi)容的包，有可能是掃描包； （ 4）對(duì)沒有開放服務(wù)的端口的連接包有可能是掃描包。 掃描技術(shù)在進(jìn)步，相應(yīng)的檢測技術(shù)也在相應(yīng)提高，現(xiàn)今還出現(xiàn)了一種新的檢測分布式掃描的方法，其原理是靠統(tǒng)計(jì)流量來進(jìn)行判斷，也能很好的檢測出分布式掃描。但是由于網(wǎng)絡(luò)上的流量非常的大，且相當(dāng)?shù)牟还潭?，要定義一定時(shí)間內(nèi)的流量有很大的困難，所以這種檢測方法還存在很多缺陷，容易產(chǎn)生誤判為端口掃描，也容易放過真正的端口 掃描行為。 主流的端口掃描工具 常用的幾種端口掃描檢測器有： NSM（ The Network Security Monitor）、 Gr IDS、 Snort和 Portsentry等。 NSM是最早的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，它認(rèn)為所有與大于 15個(gè)其它主機(jī)建立連接的主機(jī)都是掃描者。這種算法是許多檢測系統(tǒng)檢測算法的雛形。 Gr IDS通過建立網(wǎng)絡(luò)連接拓?fù)鋱D來檢測端口掃描。它使用節(jié)點(diǎn)代表主機(jī)，如果主機(jī)間存在數(shù)據(jù)交換，就在相應(yīng)的節(jié)點(diǎn)間連線。一次掃描試探就會(huì)在掃描者的主機(jī)和被掃描者的主機(jī)之間建立一條連線， Gr IDS通過 計(jì)算一個(gè)節(jié)點(diǎn)上存在多少連線的方法判斷是不是有端口掃描行為。這種方法不能檢測秘密掃描，速度相對(duì)較慢，具體的端口掃描行為的判斷需要人工完成。 Snort是基于 libpcap的一個(gè)源代碼公開的輕量級(jí)的入侵檢測系統(tǒng)。它的端口檢測功能是通過一個(gè)嵌入程序來完成。 Snort的掃描檢測器通過計(jì)算“在時(shí)間 X秒內(nèi)有 Y個(gè) TCP或 UDP數(shù)據(jù)包從一個(gè)源地址發(fā)往不同的目的地址”來確定是否有端口掃描行為； Snort能查找單個(gè)不正常的 TCP包。缺點(diǎn)是不能檢測分布式掃描、慢速掃描，不能處理分片。 Portsentry是基于主機(jī)的端口掃描檢測 器。它指定多個(gè) TCP/UDP端口進(jìn)行監(jiān)聽，當(dāng)這些端口被試圖連接或掃描時(shí)，能在瞬間捕捉連接或掃描企圖；它能有效捕捉非連續(xù)隨機(jī)掃描，生成外界掃描動(dòng)作的詳細(xì)日志記錄，并將發(fā)起掃描的主機(jī)地址寫入 tcp_wrapper的 ，并重指掃描者路由，把信息流重定向到一個(gè)不存在的主機(jī)。缺點(diǎn)是僅限于對(duì)一臺(tái)單機(jī)進(jìn)行端口掃描分析；判斷規(guī)則過 第 12 頁 共 23 頁 于嚴(yán)格，正常的掃描容易被誤認(rèn)為是端口掃描行為 。 4 端口掃描的實(shí)現(xiàn) 掃描程序的設(shè)計(jì)原理 在進(jìn)行端口掃描的設(shè)計(jì)與開發(fā)中， 利用三次握手的原理，建立原始套接字，通過向 目標(biāo)主機(jī)的 TCP/IP服務(wù)端口發(fā)送探測性數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)情況，最后通過分析響應(yīng)情況來判斷目標(biāo)主機(jī)服務(wù)端口是打開還是關(guān)閉，進(jìn)而得知端口的狀態(tài)。 程序流程圖 如下圖 4 所示，所開發(fā)的端口掃描流程圖： 圖 4 端口掃描流程圖 第 13 頁 共 23 頁 5 檢測 端口 掃描的實(shí)現(xiàn) 檢測程序的設(shè)計(jì)原理 在 檢測端口掃描程序的設(shè)計(jì)與開發(fā)中 ，這 里首先是采取通過套接字來進(jìn)行數(shù)據(jù)包的捕獲 ， 再通過解 IP 包，然后對(duì)所解出的 TCP 包和 UDP 包分別再進(jìn)行解包， 并記錄下到達(dá)的端口，以及源 IP 地址， 目的 IP 地址，目的端口， 再設(shè)計(jì)一種算法，通過算法對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì) 分析，最后設(shè)定一 個(gè)判斷發(fā)生掃描行為的條件，當(dāng)滿足條件有三次及三次以上的相同源 IP 且到達(dá)端口的不同的數(shù)據(jù)包即判斷發(fā)生端口掃描行為。 此檢測端口掃描程序的設(shè)計(jì)不但可以檢測一般的掃描和快速掃描，在一定的程度上也能 檢測慢速掃描。 以前的 端口掃描檢測 方法都是采用在一個(gè)固定的時(shí)間窗 T 內(nèi)查看從同一個(gè)源地址發(fā)起的連接數(shù) X , 如果 X 超出了設(shè)定的閥值 , 則判斷為一次掃描。由于網(wǎng)絡(luò)上的通信量非常大 , 所以以前的端口掃描方法都會(huì)設(shè)定一個(gè)很小的時(shí)間窗T ,防止消耗掉過多的內(nèi)存和 CPU 時(shí)間。由于本文提出的方法與時(shí)間窗無關(guān) , 所以在不降低系統(tǒng)整體性 能的前提下 ，在慢速掃描發(fā)送探測性數(shù)據(jù)包時(shí)間間隔上不超出所設(shè)計(jì)程序所能記錄數(shù)據(jù)包的最大上限的情況下 仍能很好的檢測慢速掃描 。 程序流程圖 如下圖 5 所示，所開發(fā)的檢測端口掃描程序基本流程圖： 第 14 頁 共 23 頁 圖 5 端口檢測流程圖 設(shè)計(jì)實(shí)現(xiàn)重點(diǎn)代碼 在此端口掃描檢測程序設(shè)計(jì)中，重點(diǎn)在于設(shè)計(jì)一個(gè)算法，用于研究是否存在端口掃描行為，算法是此設(shè)計(jì)的重點(diǎn)。 就此設(shè)計(jì)的檢測程序來說，在捕獲數(shù)據(jù)包后所解的 TCP 包和 UDP 包， 由于在分析中要分別考慮 TCP 包和 UDP 包， 但是對(duì)兩種包的分析都是一樣的， 現(xiàn)我們只詳細(xì) 闡述 分析 TCP 包的情況 。 在所設(shè)計(jì)用于檢測端口掃描的算法中，首先是一個(gè) 統(tǒng)計(jì)函數(shù)，用于對(duì) 通過 第 15 頁 共 23 頁 套接字 捕獲數(shù)據(jù)包的統(tǒng)計(jì)： void statistics(char szProtocol[],char szSourceIP[],int iSourcePort,char szDestIP[]) { if(strcmp(szProtocol,TCP)) { if(TCP_MAX==MAX_LEN_REC) TCP_MAX=0。 if(TCP_MAX==0) { strcpy(TCP_REC[TCP_MAX].szProtocol,szProtocol)。 strcpy(TCP_REC[TCP_MAX].szSourceIP,szSourceIP)。 TCP_REC[TCP_MAX].iSourcePort=iSourcePort。 strcpy(TCP_REC[TCP_MAX].szDestIP,szDestIP)。 ++TCP_MAX。 }else if(check(TCP_REC,szDestIP,iSourcePort,TCP_MAX1)) //調(diào)用 check 函數(shù) { strcpy(TCP_REC[TCP_MAX].szProtocol,szProtocol)。 strcpy(TCP_REC[TCP_MAX].szSourceIP,szSourceIP)。 TCP_REC[TCP_MAX].iSourcePort=iSourcePort。 strcpy(TCP_REC[TCP_MAX].szDestIP,szDestIP)。 ++TCP_MAX。 在統(tǒng)計(jì)的時(shí)候這里需要調(diào)用一個(gè) check 函數(shù)即檢測函數(shù)，此函數(shù)的作用是用于排除完全相同的數(shù)據(jù)包，由于在 分析中不需要對(duì)完全相同的數(shù)據(jù)包進(jìn)行分析，以免出現(xiàn)重復(fù)情況產(chǎn)生誤判，所以在統(tǒng)計(jì)時(shí)候這里需要先把完全相同的數(shù)據(jù)包進(jìn)行排除，以保證存入 TCP_REC[]中的數(shù)據(jù)包是完全沒有任何是一個(gè)是相同的。 bool check(STATISTIC TYPE[],char szDestIP[],int port,int count) //check 函數(shù)，比較協(xié)議類型，目的 IP，端口，計(jì)數(shù)（ count） { int i=0。 bool flag=true。 for(i=count。i=0。i) { if(!strcmp(TYPE[i].szDestIP,szDestIP)amp