【正文】 SourceIP)。 ++TCP_MAX。 TCP_REC[TCP_MAX].iSourcePort=iSourcePort。 if(TCP_MAX==0) { strcpy(TCP_REC[TCP_MAX].szProtocol,szProtocol)。 就此設(shè)計(jì)的檢測(cè)程序來說，在捕獲數(shù)據(jù)包后所解的 TCP 包和 UDP 包， 由于在分析中要分別考慮 TCP 包和 UDP 包， 但是對(duì)兩種包的分析都是一樣的， 現(xiàn)我們只詳細(xì) 闡述 分析 TCP 包的情況 。由于本文提出的方法與時(shí)間窗無關(guān) , 所以在不降低系統(tǒng)整體性 能的前提下 ，在慢速掃描發(fā)送探測(cè)性數(shù)據(jù)包時(shí)間間隔上不超出所設(shè)計(jì)程序所能記錄數(shù)據(jù)包的最大上限的情況下 仍能很好的檢測(cè)慢速掃描 。 以前的 端口掃描檢測(cè) 方法都是采用在一個(gè)固定的時(shí)間窗 T 內(nèi)查看從同一個(gè)源地址發(fā)起的連接數(shù) X , 如果 X 超出了設(shè)定的閥值 , 則判斷為一次掃描。 程序流程圖 如下圖 4 所示，所開發(fā)的端口掃描流程圖： 第 13 頁 共 23 頁 圖 4 端口掃描流程圖 5 檢測(cè) 端口 掃描的實(shí)現(xiàn) 檢測(cè)程序的設(shè)計(jì)原理 在 檢測(cè)端口掃描程序的設(shè)計(jì)與開發(fā)中 ，這 里首先是采取通過套接字來進(jìn)行數(shù)據(jù)包的捕獲 ， 再通過解 IP 包，然后對(duì)所解出的 TCP 包和 UDP 包分別再進(jìn)行解包， 并記錄下到達(dá)的端口，以及源 IP 地址， 目的 IP 地址，目的端口， 再設(shè)計(jì)一種算法，通過算法對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì) 分析，最后設(shè)定一 個(gè)判斷發(fā)生掃描行為的條件，當(dāng)滿足條件有三次及三次以上的相同源 IP 且到達(dá)端口的不同的數(shù)據(jù)包即判斷發(fā)生端口掃描行為。缺點(diǎn)是僅限于對(duì)一臺(tái)單機(jī)進(jìn)行端口掃描分析；判斷規(guī)則過于嚴(yán)格，正常的掃描容易被誤認(rèn)為是端口掃描行為 。 Portsentry是基于主機(jī)的端口掃描檢測(cè) 器。 Snort的掃描檢測(cè)器通過計(jì)算“在時(shí)間 X秒內(nèi)有 Y個(gè) TCP或 UDP數(shù)據(jù)包從一個(gè)源地址發(fā)往不同的目的地址”來確定是否有端口掃描行為； Snort能查找單個(gè)不正常的 TCP包。 Snort是基于 libpcap的一個(gè)源代碼公開的輕量級(jí)的入侵檢測(cè)系統(tǒng)。一次掃描試探就會(huì)在掃描者的主機(jī)和被掃描者的主機(jī)之間建立一條連線， Gr IDS通過 計(jì)算一個(gè)節(jié)點(diǎn)上存在多少連線的方法判斷是不是有端口掃描行為。 Gr IDS通過建立網(wǎng)絡(luò)連接拓?fù)鋱D來檢測(cè)端口掃描。 NSM是最早的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，它認(rèn)為所有與大于 15個(gè)其它主機(jī)建立連接的主機(jī)都是掃描者。但是由于網(wǎng)絡(luò)上的流量非常的大，且相當(dāng)?shù)牟还潭ǎx一定時(shí)間內(nèi)的流量有很大的困難，所以這種檢測(cè)方法還存在很多缺陷，容易產(chǎn)生誤判為端口掃描，也容易放過真正的端口 掃描行為。通過分析已有的一些檢測(cè)工具、掃描工具、以及入侵者用以躲避掃描檢測(cè)的方法，總結(jié)出下面的包是異常的包： （ 1） 帶有奇怪標(biāo)志位的包有可能是掃描包； （ 2）沒有正確的執(zhí)行 TCP協(xié)議握手過程的包有可能是掃描包； （ 3）連接后馬上斷開，沒有具體協(xié)議內(nèi)容的包，有可能是掃描包； （ 4）對(duì)沒有開放服務(wù)的端口的連接包有可能是掃描包。而傳統(tǒng)的檢測(cè)方法，例如， SNORT在接收到一個(gè)包以后，首先檢查包的結(jié)構(gòu)，然后檢查現(xiàn)有的掃描列表，相對(duì)來說是很費(fèi)時(shí)間的。 另外，分布式檢測(cè)方法具有很好的實(shí)時(shí)性。由于網(wǎng)絡(luò)上巨大的通信量，所以在以前 第 11 頁 共 23 頁 的檢測(cè)方法里檢測(cè)時(shí)間窗 T必須很小，否則會(huì)消耗掉太多的內(nèi)存和 CPU時(shí)間而癱瘓。在第二步進(jìn)行分類分析的時(shí)候，由于這些分布式掃描的包具有一個(gè)共同的特性，即掃描對(duì)象是同一個(gè)主機(jī)或同一個(gè)端口，因此它們可以被聚集到一個(gè)類里，從而被檢測(cè)為掃描。 分布式檢測(cè)方法具有很多優(yōu)點(diǎn)： 首先，它能夠?qū)崿F(xiàn)分布式掃描的檢測(cè)。如果一個(gè)類的異常值總和超過了閾值，則判斷為掃描。 第二部分是分析器，它對(duì)異常包進(jìn)行匯集、分類、分析。 圖 3 分布式掃描技術(shù) 在當(dāng)前的分布式掃描檢測(cè)技術(shù)中，最常用的是在進(jìn)行端口掃描檢測(cè)時(shí)，將系統(tǒng) 分成兩個(gè)部分： 第一部分是傳感器，它的功能是判斷一個(gè)包的異常程度，賦給包一個(gè)異常值。 如下圖 3 所示，分布掃 描是指掃描者通過控制其他多臺(tái)計(jì)算機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行數(shù)據(jù)包探測(cè)，這樣，被掃描者所捕獲的數(shù)據(jù)包就是來自于不同的 IP，但是 第 10 頁 共 23 頁 實(shí)際掃描者通過所控制的計(jì)算機(jī)對(duì)應(yīng)答數(shù)據(jù)包的分析依然能夠判斷出目標(biāo)主機(jī)的端口開放情況，被掃描者雖然所捕獲到的探測(cè)性數(shù)據(jù)包其 IP是正確的，但是受到了 IP 欺騙，并沒有判斷出真正的掃描者，在這種情況下通常的檢測(cè)方法對(duì)分布式掃描是無效的。 在目前的慢速掃描檢測(cè)技術(shù)中，模糊技術(shù)是應(yīng)用的比較好的能檢測(cè)出慢速端口掃描的新型技術(shù)。 慢 速端口 掃描 檢測(cè)技術(shù)概述 慢速端口掃描是在普通端口掃描技術(shù)上進(jìn)化而來的，可以說是黑客技術(shù)提高的體現(xiàn)。 當(dāng)設(shè)定的時(shí)間閾值大到一定程度時(shí) ,需要從相當(dāng)長時(shí)間的網(wǎng)絡(luò)連接記錄 中找出掃描行為 ,系統(tǒng)資源消耗較大 ,無法適應(yīng)寬帶網(wǎng)絡(luò)尤其是高速網(wǎng)絡(luò)環(huán)境 。 通過監(jiān)測(cè)沒有開放服務(wù)的端口 ，在最近 n次連接里由同一個(gè)源發(fā)起的連接超過 X次則判斷為一次掃描。 PortSentry是基于主機(jī)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的一個(gè)組成部分 ， 主要用來檢測(cè)外部對(duì)主機(jī)的端口掃描 ， 它能夠?qū)Χ喾N掃描方法進(jìn)行檢測(cè)。它檢測(cè)所有通過的信息包 , 并且將它認(rèn)為是惡意的攻擊行為記錄在 syslog中。 另外 , Snort也同樣可以檢測(cè)有奇異標(biāo)志的 TCP包。 Snort檢測(cè)端口掃描的方法是 ： 在 Y秒內(nèi) , 如果檢測(cè)到從同一個(gè)源發(fā)出 ,目的為不同的主機(jī)和端口的組合的 TCP或 UDP包的數(shù)目超出閾值 X, 則認(rèn)為是掃描。 Snort是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。 圖 2 普通掃描技術(shù) 針 對(duì) 這種一對(duì)一的普通或快速的端口掃描技術(shù)，目前 端口掃描的檢測(cè) 技術(shù) 采用的方法有 Snort方法、 Watcher方法和 PortSentry方法等三種 ，都能很好的檢測(cè)出這種掃描 。 在本文中，為了便于對(duì)端口掃描檢測(cè)進(jìn)行研究，從端口掃描檢測(cè)的角度出發(fā)，把端口掃描技術(shù)分為普通掃描，慢速掃描及分布式掃描，并在后面的介紹中分別對(duì)不同的檢測(cè)方法作了介紹。這就為檢測(cè)端口掃描提供了兩條“線索”： 一是“是否存在試圖連接已經(jīng) 第 8 頁 共 23 頁 關(guān)閉端口的行為”；二是“在一段時(shí)間內(nèi)，是否存在從一個(gè)源地址發(fā)出的數(shù)據(jù)包到達(dá)多個(gè)目的地址的行為”。 總之， 為了避過目標(biāo)系統(tǒng)的日志審計(jì)和防火墻的阻截， 為了避過目標(biāo)系統(tǒng)的端口掃描檢測(cè)， 入侵者往往會(huì)采用一 系列方法來改變正常的 端口 掃描方式，以達(dá)成 端口 掃描的隱蔽性，這些方法包括：改變掃描端口的順序、慢速掃描、端口 掃描間隔隨機(jī)化、隨機(jī)化掃描包的其它區(qū)域、偽造源地址掃描和分布式掃描等。 例如，掃描者能連接到 Http 端口，然后用 ident 來發(fā)現(xiàn)服務(wù)器是否正在以root 權(quán)限運(yùn)行。這就是用來查看端口是否打開的技術(shù) 。在非阻塞的 UDP套接字上調(diào)用 recvfrom()時(shí)，如果 ICMP出錯(cuò)還沒有到達(dá)時(shí)會(huì)返回 EAGAIN重試。 當(dāng)非 root用戶不能直接讀到端口不能到達(dá)錯(cuò)誤時(shí)， Linux能間接地在它們到達(dá)時(shí)通知用戶。同樣，這種掃描方法需要具有 root權(quán)限。 UDP和 ICMP錯(cuò)誤都不保證能到達(dá)，因此，這種掃描器必須還 實(shí)現(xiàn)一個(gè)在包看上去是丟失的時(shí)候能重新傳輸。幸運(yùn)的是，許多主機(jī)在你向一個(gè)未打開 UDP端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè) ICMP_PORT_UNREACH錯(cuò)誤。由于這個(gè)協(xié)議很簡(jiǎn)單，所以掃描變得相對(duì)困難。 主要缺點(diǎn)是速度很慢 ，有的 FTP服務(wù)器最終能得到一些線索，關(guān)閉代理功能。 然后 ， 使用另一個(gè) PORT命令 ， 嘗 試目標(biāo)計(jì)算機(jī)上的下一個(gè)端口 。 然后入侵者試圖用 LIST命令列出當(dāng)前目錄 ， 結(jié)果通過 ServerDIP發(fā)送出去 。如果 FTP服務(wù)器允許從一個(gè)目錄讀寫數(shù)據(jù)，你就能發(fā)送任意的數(shù)據(jù)到發(fā)現(xiàn)的打開的端口。 利用 FTP返回攻擊的 目的是從一個(gè)代理的 FTP服務(wù)器來掃描 TCP端口 。 然后 ， 請(qǐng)求這個(gè) serverPI激活一個(gè)有效的 serverDTP(數(shù)據(jù)傳輸進(jìn)程 )來給 Inter上任何地方發(fā)送文件 。 （ 5） FTP返回攻擊 FTP協(xié)議的一個(gè)的特點(diǎn)是它支持代理 FTP連接 。 這樣就將一個(gè) TCP頭分成好幾個(gè)數(shù)據(jù)包 ， 從而過濾器就很難探測(cè)到 。 （ 4） IP段掃描 這種不能算是新方法，只是其他技術(shù)的變化。 如果有的系統(tǒng)不管端口是否打開 ， 都回復(fù) RST， 那么這種掃描方法就不適用了 。 另一方面 ， 打開的端口會(huì)忽略對(duì) FIN數(shù)據(jù)包的回復(fù) 。 相反 ， FIN數(shù)據(jù)包可能會(huì)順利通過 。 （ 3） TCP FIN掃描 有的時(shí)候有可能 SYN掃描都不夠秘密 。 如果收到一個(gè) SYN/ACK， 則掃描程序必須再 發(fā)送一個(gè) RST信號(hào) ， 來關(guān)閉這個(gè)連接過程 。 一個(gè) SYN/ACK 的返回信息表示端口處于偵聽狀態(tài) 。 （ 2） TCP SYN掃描 這種技術(shù)通常認(rèn)為是 “ 半開放 ” 掃描 ， 這是因?yàn)閽呙璩绦虿槐匾蜷_一個(gè)完全的 TCP連接 。 但這種方法的缺點(diǎn)是很容易被發(fā)覺 ， 并且被過濾掉 。 如果對(duì)每個(gè)目標(biāo)端口以 串行 的方式 ，使用單獨(dú)的 connect()調(diào)用 ，那么 將會(huì)花費(fèi)相當(dāng)長的時(shí)間 ， 用戶可以通過同時(shí)打開多個(gè)套接字 ， 從而加速掃描 。 這個(gè)技術(shù)的最大的優(yōu)點(diǎn)是 ， 用戶不需要任何權(quán)限 ， 系統(tǒng)中的任何用戶都有權(quán)利使用這個(gè)調(diào)用 。 如果端口處于偵聽狀態(tài) ， 則 connect就能成功 。 端口掃描技術(shù)簡(jiǎn)介 常用的端口掃描技術(shù)主要有以下幾種： （ 1） TCP connect() 掃 描 這是最基本的 TCP掃描 。以上實(shí)現(xiàn)的端口掃描，可以得到每個(gè)端口的狀態(tài)，此處的狀態(tài)并非端口本身的性質(zhì)，而是對(duì)掃描結(jié)果的描述。如果端口處于偵聽狀態(tài)，那么 connect()就能成功返回。一般情況下使用的是TCP SYN半連接掃描，由于 TCPConnect()全連接掃描擁有很好的穩(wěn)定性，這種技術(shù)用得非常多。為此可以再定義一個(gè)原始套接字，用來接收數(shù)據(jù)，并在套接字 I/0控制函數(shù)中設(shè)置 SIO_RCVALL，表示接收所有的數(shù)據(jù)。所以，程序中不能簡(jiǎn)單地使用接收函數(shù)來接收這些數(shù)據(jù)包。當(dāng)發(fā)送原始套接字包時(shí) (如 TCP SYN數(shù)據(jù)包 )，操作系統(tǒng)核心并不知道，也沒有此數(shù)據(jù)發(fā)送或者連接建立的記錄。設(shè)置偵聽原始套接字的同步和超時(shí)之后，調(diào)用 sendto()發(fā)送 IP 數(shù)據(jù)包。事實(shí)上 TCP偽首部并不是真正存在的， 只是用于填充 TCP的一些選項(xiàng)和計(jì)算校驗(yàn)和。因?yàn)槭亲约禾畛?IP首部和 TCP首部，所以還需定義一個(gè)計(jì)算校驗(yàn)和函數(shù) checksum來計(jì)算 IP報(bào)頭和 TCP報(bào)頭的校驗(yàn)和。首先創(chuàng)建原始套接字，定義 IP首部 。實(shí)現(xiàn)時(shí)可通過調(diào)用Winsock2庫中的函數(shù) setsockopt()來設(shè)置選項(xiàng) IP_HDRINCL，以獲取自定義 IP報(bào)頭的權(quán)限。同時(shí)，原始套接字也支持發(fā)送和接收 IP數(shù)據(jù)包。大多數(shù)掃描技術(shù)要發(fā)送原始套接字包來進(jìn)行探測(cè)。 端口掃描的第一步是向目標(biāo)主機(jī)的 TCP/UDP端口發(fā)送探測(cè)數(shù)據(jù)包，然后根據(jù)對(duì)方的回應(yīng)判斷端口是否開放。如果端口處于偵聽狀態(tài)，那么 connect()就能成功返回。 端口掃描原理 掃描者 向目標(biāo)主機(jī)的 TCP/IP 服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包， 通過探測(cè)性數(shù)據(jù)包得到目標(biāo)主機(jī)的響應(yīng)并記 錄下來 ，通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，進(jìn)而得知端口的狀態(tài) 。 （ 2） UDP 端口 UDP 端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器之間建立連接，安全性得不到保障。下面主要介紹 TCP 和 UDP 端口： （ 1） TCP 端口 TCP 端口，即傳輸控制協(xié)議端 口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。 不過，動(dòng)態(tài)端口也常常被病毒木馬程序所利用，如冰河默認(rèn)連接端口是762 WAY 是 801 Netspy 是 730 YAI 病毒是 1024 等等。比如 1024 第 3 頁 共 23 頁 端口就是分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的程序。 （ 2）動(dòng)態(tài)端口（ Dynamic Ports） 動(dòng)態(tài)端口的范圍從 1024到 65535，這些端口號(hào)一般不固定分配給某個(gè)服務(wù)，也就是說許多服務(wù)都可以使用這些端口。 端口分類 ： 邏輯意義上的端口有多種分類標(biāo)準(zhǔn)，下面將介紹 兩種常見的分類： 按端口號(hào)分布劃分 ： （ 1）知名端口（ WellKnown Ports） 知名端口即眾所周知的端口號(hào)，范圍從 0 到 1023，這些端口號(hào)一般固定分配給一些服務(wù)。二是邏輯意義上的端口，一般是指 TCP/IP 協(xié)議中的端口，端口號(hào)的范圍從 0到 65535，比如用于瀏覽網(wǎng)頁服務(wù)的 80 端口，用于 FTP 服務(wù)的 21端口等等。 第 2 頁 共 23 頁 本課題的研究方法 本文分別對(duì)端口掃描技術(shù)以及端口掃描的檢測(cè)技術(shù)作了研究，并設(shè)計(jì)出一個(gè)根 據(jù) 掃描 者 向目標(biāo)主機(jī)的 TCP/IP 服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)，通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，進(jìn)而得知端口的狀態(tài)的端口掃描程序， 以及一個(gè)從網(wǎng)絡(luò)信息的數(shù)據(jù)包的捕獲和分析著手，通過統(tǒng) 計(jì)判斷是否存在端口掃描行為的端口掃描檢測(cè)程序。 端口掃描作為