【文章內容簡介】 本身出發(fā)，不經過任何隱藏通過發(fā)送探測性數據包來判斷目標主機的端口開放情況。 圖 2 普通掃描技術 針 對 這種一對一的普通或快速的端口掃描技術，目前 端口掃描的檢測 技術 采用的方法有 Snort方法、 Watcher方法和 PortSentry方法等三種 ，都能很好的檢測出這種掃描 。 它們 進行端口掃描檢測 采用的算法大致可以概括如下 ： 在 M秒內 ， 監(jiān)測從同一源端發(fā)出的數據包 , 如果其目的 IP與目的端口的組合數目超出 N的話 , 則認為是一次掃描。 Snort是一個輕量級的網絡入侵檢測系統(tǒng)。它的探測引擎采用模塊化的插件結構 ,允許開發(fā)者擴展 Snort的功能 , 也可以使得用戶可以按自己的需要定制功能。 Snort檢測端口掃描的方法是 ： 在 Y秒內 , 如果檢測到從同一個源發(fā)出 ,目的為不同的主機和端口的組合的 TCP或 UDP包的數目超出閾值 X, 則認為是掃描。 其中 X和 Y的值可以由用戶自己設定。 另外 , Snort也同樣可以檢測有奇異標志的 TCP包。 Watcher是一個比較完整的基于網絡的入侵檢測系統(tǒng)的設計代碼。它檢測所有通過的信息包 , 并且將它認為是惡意的攻擊行為記錄在 syslog中。它的檢測原理是 ： 如果在短時間內有超過 7個以上的端口收到信息包 (不管類型如何 ) , 那么這一事件就被當成端口掃描記錄下來。 PortSentry是基于主機的網絡入侵檢測系統(tǒng)的一個組成部分 ， 主要用來檢測外部對主機的端口掃描 ， 它能夠對多種掃描方法進行檢測。 它的檢測原理是 ： 對沒有開放服務的端口的訪問有可能是一次掃描。 通過監(jiān)測沒有開放服務的端口 ，在最近 n次連接里由同一個源發(fā)起的連接超過 X次則判斷為一次掃描。 以上幾種掃描 檢測 方法對端口掃描所采用的檢測技術都比較簡單 ， 且存在以下缺點 ： 第 9 頁 共 23 頁 （ 1） 無法檢測慢速掃描 , 因為在檢測中時間窗是個固定值 , 只要掃描速度低于這個閾值 , 攻擊者就可以成功地逃避檢測 。 當設定的時間閾值大到一定程度時 ,需要從相當長時間的網絡連接記錄 中找出掃描行為 ,系統(tǒng)資源消耗較大 ,無法適應寬帶網絡尤其是高速網絡環(huán)境 。 從理論上講 ,黑客總能夠以略大于系統(tǒng)設定閾值的時間間隔進行端口掃描 ； （ 2） 未考慮到受保護網段的特點 , 對網段內所有主機都采用相同的檢測策略 , 效率不高而且容易導致誤報 。 慢 速端口 掃描 檢測技術概述 慢速端口掃描是在普通端口掃描技術上進化而來的，可以說是黑客技術提高的體現。 通常普通端口掃描的掃描者對被掃描者發(fā)送探測性數據包都是快速的，被掃描者在進行捕包判斷上就會顯得比較容易，而慢速掃描與普通掃描一樣，都是一對一，即掃描者和被掃描者都只有一 個，但是其對目標主機發(fā)送探測性數據包的時間間隔上就變化很大，可以在 1分鐘發(fā)送一個探測性數據包后 20分鐘再繼續(xù)發(fā)送探測性數據包，也或者在發(fā)送一個探測性數據包后時間就遞增，產生一個時間上的變化，總之給檢測端口掃描帶來了極大的困難，這就需要用新的規(guī)則，新的技術來進行端口檢測。 在目前的慢速掃描檢測技術中，模糊技術是應用的比較好的能檢測出慢速端口掃描的新型技術。 端口 掃描 的分布式檢測概述 在當前端口掃描技術中，比較難以檢測的是分布式掃描，針對分布式掃描，不能采取對普通掃描及慢速掃描的檢測方法。 如下圖 3 所示，分布掃 描是指掃描者通過控制其他多臺計算機對目標主機進行數據包探測，這樣，被掃描者所捕獲的數據包就是來自于不同的 IP，但是實際掃描者通過所控制的計算機對應答數據包的分析依然能夠判斷出目標主機的端口開放情況，被掃描者雖然所捕獲到的探測性數據包其 IP是正確的，但是受到了 IP 欺騙，并沒有判斷出真正的掃描者，在這種情況下通常的檢測方法對分布式掃描是無效的。當然，在分布式掃描的基礎上加以慢速掃描，則是更加難以檢測的掃描技術。 第 10 頁 共 23 頁 圖 3 分布式掃描技術 在當前的分布式掃描檢測技術中，最常用的是在進行端口掃描檢測時，將系統(tǒng) 分成兩個部分： 第一部分是傳感器，它的功能是判斷一個包的異常程度，賦給包一個異常值。如果一個包有異常，則從網絡數據中過濾出來，進行下一步的處理；如果一個包沒有異常，則簡單地丟棄。 第二部分是分析器，它對異常包進行匯集、分類、分析。首先將異常包根據其不同特性分成不同的類，然后再對不同的類計算一個類的異常值總和。如果一個類的異常值總和超過了閾值，則判斷為掃描。在分布式端口掃描檢測系統(tǒng)中，傳感器分布在一個大網的各個子網內，采集網絡上的各種有關掃描異常數據；而分類器是一個匯總的分析器，通過匯總分析網絡內各個子網的數 據，可以更好地分析網絡上出現的掃描情況。 分布式檢測方法具有很多優(yōu)點： 首先，它能夠實現分布式掃描的檢測。因為分布式掃描其掃描包具有一定的異常性，所以這些包可以被第一步的檢測從網絡數據中過濾出來。在第二步進行分類分析的時候，由于這些分布式掃描的包具有一個共同的特性，即掃描對象是同一個主機或同一個端口，因此它們可以被聚集到一個類里，從而被檢測為掃描。其次，這種方法也能夠檢測慢速的掃描。由于網絡上巨大的通信量，所以在以前的檢測方法里檢測時間窗 T必須很小，否則會消耗掉太多的內存和 CPU時間而癱瘓。而采用該方法，由 于分析器只需分析處理異常包，因此可以取一個很大的時間窗 T，從而檢測出慢速的掃描。 另外，分布式檢測方法具有很好的實時性。由于傳感器只需要判斷一個包的異常程度，而不需要判斷是否屬于掃描，因此可以實現一個很快的異常包過濾器。而傳統(tǒng)的檢測方法，例如， SNORT在接收到一個包以后，首先檢查包的結構，然 第 11 頁 共 23 頁 后檢查現有的掃描列表，相對來說是很費時間的。 異常包的檢測： 首先，需要有一個準則來確定網絡上一個包的異常程度。通過分析已有的一些檢測工具、掃描工具、以及入侵者用以躲避掃描檢測的方法，總結出下面的包是異常的包： （ 1） 帶有奇怪標志位的包有可能是掃描包； （ 2）沒有正確的執(zhí)行 TCP協(xié)議握手過程的包有可能是掃描包； （ 3）連接后馬上斷開，沒有具體協(xié)議內容的包，有可能是掃描包； （ 4）對沒有開放服務的端口的連接包有可能是掃描包。 掃描技術在進步，相應的檢測技術也在相應提高，現今還出現了一種新的檢測分布式掃描的方法，其原理是靠統(tǒng)計流量來進行判斷，也能很好的檢測出分布式掃描。但是由于網絡上的流量非常的大，且相當的不固定，要定義一定時間內的流量有很大的困難，所以這種檢測方法還存在很多缺陷，容易產生誤判為端口掃描，也容易放過真正的端口 掃描行為。 主流的端口掃描工具 常用的幾種端口掃描檢測器有： NSM（ The Network Security Monitor）、 Gr IDS、 Snort和 Portsentry等。 NSM是最早的基于網絡的入侵檢測系統(tǒng)，它認為所有與大于 15個其它主機建立連接的主機都是掃描者。這種算法是許多檢測系統(tǒng)檢測算法的雛形。 Gr IDS通過建立網絡連接拓撲圖來檢測端口掃描。它使用節(jié)點代表主機，如果主機間存在數據交換，就在相應的節(jié)點間連線。一次掃描試探就會在掃描者的主機和被掃描者的主機之間建立一條連線， Gr IDS通過 計算一個節(jié)點上存在多少連線的方法判斷是不是有端口掃描行為。這種方法不能檢測秘密掃描，速度相對較慢，具體的端口掃描行為的判斷需要人工完成。 Snort是基于 libpcap的一個源代碼公開的輕量級的入侵檢測系統(tǒng)。它的端口檢測功能是通過一個嵌入程序來完成。 Snort的掃描檢測器通過計算“在時間 X秒內有 Y個 TCP或 UDP數據包從一個源地址發(fā)往不同的目的地址”來確定是否有端口掃描行為； Snort能查找單個不正常的 TCP包。缺點是不能檢測分布式掃描、慢速掃描，不能處理分片。 Portsentry是基于主機的端口掃描檢測 器。它指定多個 TCP/UDP端口進行監(jiān)聽，當這些端口被試圖連接或掃描時，能在瞬間捕捉連接或掃描企圖；它能有效捕捉非連續(xù)隨機掃描，生成外界掃描動作的詳細日志記錄，并將發(fā)起掃描的主機地址寫入 tcp_wrapper的 ，并重指掃描者路由，把信息流重定向到一個不存在的主機。缺點是僅限于對一臺單機進行端口掃描分析；判斷規(guī)則過 第 12 頁 共 23 頁 于嚴格，正常的掃描容易被誤認為是端口掃描行為 。 4 端口掃描的實現 掃描程序的設計原理 在進行端口掃描的設計與開發(fā)中， 利用三次握手的原理，建立原始套接字，通過向 目標主機的 TCP/IP服務端口發(fā)送探測性數據包，并記錄目標主機的響應情況，最后通過分析響應情況來判斷目標主機服務端口是打開還是關閉，進而得知端口的狀態(tài)。 程序流程圖 如下圖 4 所示，所開發(fā)的端口掃描流程圖： 圖 4 端口掃描流程圖 第 13 頁 共 23 頁 5 檢測 端口 掃描的實現 檢測程序的設計原理 在 檢測端口掃描程序的設計與開發(fā)中 ，這 里首先是采取通過套接字來進行數據包的捕獲 ， 再通過解 IP 包，然后對所解出的 TCP 包和 UDP 包分別再進行解包， 并記錄下到達的端口，以及源 IP 地址， 目的 IP 地址，目的端口， 再設計一種算法，通過算法對數據包進行統(tǒng)計 分析，最后設定一 個判斷發(fā)生掃描行為的條件，當滿足條件有三次及三次以上的相同源 IP 且到達端口的不同的數據包即判斷發(fā)生端口掃描行為。 此檢測端口掃描程序的設計不但可以檢測一般的掃描和快速掃描，在一定的程度上也能 檢測慢速掃描。 以前的 端口掃描檢測 方法都是采用在一個固定的時間窗 T 內查看從同一個源地址發(fā)起的連接數 X , 如果 X 超出了設定的閥值 , 則判斷為一次掃描。由于網絡上的通信量非常大 , 所以以前的端口掃描方法都會設定一個很小的時間窗T ,防止消耗掉過多的內存和 CPU 時間。由于本文提出的方法與時間窗無關 , 所以在不降低系統(tǒng)整體性 能的前提下 ，在慢速掃描發(fā)送探測性數據包時間間隔上不超出所設計程序所能記錄數據包的最大上限的情況下 仍能很好的檢測慢速掃描 。 程序流程圖 如下圖 5 所示，所開發(fā)的檢測端口掃描程序基本流程圖： 第 14 頁 共 23 頁 圖 5 端口檢測流程圖 設計實現重點代碼 在此端口掃描檢測程序設計中，重點在于設計一個算法，用于研究是否存在端口掃描行為，算法是此設計的重點。 就此設計的檢測程序來說，在捕獲數據包后所解的 TCP 包和 UDP 包， 由于在分析中要分別考慮 TCP 包和 UDP 包， 但是對兩種包的分析都是一樣的， 現我們只詳細 闡述 分析 TCP 包的情況 。 在所設計用于檢測端口掃描的算法中，首先是一個 統(tǒng)計函數，用于對 通過 第 15 頁 共 23 頁 套接字 捕獲數據包的統(tǒng)計： void statistics(char szProtocol[],char szSourceIP[],int iSourcePort,char szDestIP[]) { if(strcmp(szProtocol,TCP)) { if(TCP_MAX==MAX_LEN_REC) TCP_MAX=0。 if(TCP_MAX==0) { strcpy(TCP_REC[TCP_MAX].szProtocol,szProtocol)。 strcpy(TCP_REC[TCP_MAX].szSourceIP,szSourceIP)。 TCP_REC[TCP_MAX].iSourcePort=iSourcePort。 strcpy(TCP_REC[TCP_MAX].szDestIP,szDestIP)。 ++TCP_MAX。 }else if(check(TCP_REC,szDestIP,iSourcePort,TCP_MAX1)) //調用 check 函數 { strcpy(TCP_REC[TCP_MAX].szProtocol,szProtocol)。 strcpy(TCP_REC[TCP_MAX].szSourceIP,szSourceIP)。 TCP_REC[TCP_MAX].iSourcePort=iSourcePort。 strcpy(TCP_REC[TCP_MAX].szDestIP,szDestIP)。 ++TCP_MAX。 在統(tǒng)計的時候這里需要調用一個 check 函數即檢測函數，此函數的作用是用于排除完全相同的數據包，由于在 分析中不需要對完全相同的數據包進行分析，以免出現重復情況產生誤判，所以在統(tǒng)計時候這里需要先把完全相同的數據包進行排除，以保證存入 TCP_REC[]中的數據包是完全沒有任何是一個是相同的。 bool check(STATISTIC TYPE[],char szDestIP[],int port,int count) //check 函數，比較協(xié)議類型，目的 IP，端口，計數（ count） { int i=0。 bool flag=true。 for(i=count。i=0。i) { if(!strcmp(TYPE[i].szDestIP,szDestIP)amp