CN106453254A - 一种规避防火墙检测的无状态扫描方法 - Google Patents
一种规避防火墙检测的无状态扫描方法 Download PDFInfo
- Publication number
- CN106453254A CN106453254A CN201610810508.7A CN201610810508A CN106453254A CN 106453254 A CN106453254 A CN 106453254A CN 201610810508 A CN201610810508 A CN 201610810508A CN 106453254 A CN106453254 A CN 106453254A
- Authority
- CN
- China
- Prior art keywords
- syn
- bag
- syn bag
- random number
- scanner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种规避防火墙检测的无状态扫描方法。本方法为:1)扫描器生成不携带Options段的SYN包并随机化该数据包中的Identification字段;2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。采用本发明的方法,防火墙不再有可能从中找到特征,从而对扫描发包进行过滤,本发明提高了端口发现比例。
Description
技术领域
本发明涉及计算机信息技术领域,具体涉及一种规避防火墙检测的无状态扫描方法。
背景技术
TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态。正是操作系统在底层已经保存了这些状态我们在应用层使用起来才更方便可靠,但可靠的同时带来的是资源占用。
无状态扫描是指无需关心TCP状态,不占用系统TCP/IP协议栈资源,忘记SYN、ACK、FIN、TIMEWAIT等状态,不进行会话组包,在实现上也有可能需要把必要的信息存放在数据包本身中。如13年曾以44分钟扫描完全部互联网的ZMAP,之后出现的MASSCAN,都使用了这种无状态扫描技术,扫描速度比以往任何工具都有质的提升,后者更是提出了3分钟扫完互联网的极速。
目前被广泛使用的无状态扫描引擎有ZMAP、MASSCAN,由于其无需维护连接状态,因此可以达到极高的扫描速度。
ZMAP是美国密歇根大学研究者开发出一款工具,在第22届USENIX安全研讨会,以超过NMAP 1300倍的扫描速度声名鹊起,相比大名鼎鼎的NMAP全网扫描速度是他最大的亮点,在千兆网卡状态下,45分钟内扫描全网络IPv4地址。
SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
现有技术就是利用无状态扫描在扫描速度上优势大大提升扫描速度,但其更加侧重于包的发送速率和无状态扫描的实现方案,较少考虑防火墙的规避问题。
在正常的网络通信中,由于单一SYN包中各协议字段的值具有非常大的不确定性,防火墙很难针对这样的数据流量编写特定的过滤规则。但是当类似ZMAP这样的专注于端口扫描的工具所发出的SYN包中具有硬编码的协议字段时,防火墙就很容易针对这些这些特定的协议字段编写特定的过滤规则,而不用担心这样的过滤规则误伤正常的网络流量,造成扫描结果的漏报,如图1所示。
另外,上述无状态扫描技术中,单纯的出于发包速率等原因考虑,发出的SYN包并非现代TCP/IP协议中常见的完整SYN包,而是一种精简的SYN包,即缺少Options字段的SYN包,目的是实现同等网络带宽下更高的发包速率。但此种精简的SYN包因其结构的特殊性,可能触发某些防火墙的BUG,导致此类SYN包被防火墙直接丢弃。
发明内容
为克服现有技术中存在的不足,本发明的目的在于提供一种规避防火墙检测的无状态扫描方法,尽可能让无状态扫描所发出的SYN包模仿正常的网络通信流量,做到去特征化,并避免包中存在特异结构触发通信链路中设备的实现BUG。
为解决上述技术问题,本发明采用的具体方案为:
一种规避防火墙检测的无状态扫描方法,其步骤为:
1)扫描器生成基础SYN包并随机化该基础SYN包中的设定的协议字段;其中,基础SYN包为不携带Options段的SYN数据包;
2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;
3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。
进一步的,该设定的协议字段为基础SYN包的包头中的Identification字段。
进一步的,步骤1)中,扫描器使用随机数生成函数生成一随机数,然后将基础SYN包的包头中的Identification字段替换为该随机数。
进一步的,该随机数为一个二进制长度不超过16bit的随机数。
进一步的,将TCP/IP协议中的Options段作为步骤1)处理后的SYN包中的最后一个协议字段,附加在步骤1)处理后的SYN包中。
进一步的,所述Options段的类型为MSS类型、长度为8bit、值为1460,Options段总长度32bit。
本发明主要步骤包括:
1)无状态扫描工具生成不携带Options段的SYN数据包;
2)随机化所述SYN包中的Identification字段;
3)在SYN包中增加现代TCP/IP协议中常见的Options段;
4)发送经过上述处理的SYN包进行无状态扫描。
所述无状态扫描工具包括ZMAP和MASSCAN。
本发明的有益效果是:
(1)通过随机化协议字段,无状态扫描中所发SYN包与正常的网络通信流量中的SYN包几乎没有差别,尽可能避免协议字段的硬编码,防火墙不再有可能从中找到特征,从而对扫描发包进行过滤,提高了端口发现比例。
(2)通过在精简的SYN包中增加现代TCP/IP协议中常见的Options段,避免了特殊包结构触发通信链路中网络设备的BUG,进一步提高了端口发现比例。
附图说明
图1为现有方案中目标主机探测失败场景图。
图2为本方案中提供的无状态扫描方法流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
本实施例提供一种规避防火墙检测的无状态扫描方法,具体步骤如图2所示,具体步骤如下:
(1)组装不携带Options段的SYN包。
(2)使用随机数生成函数生成一个随机数,并将步骤(1)中生成的SYN包头中的Identification字段替换为该随机数。
(3)在步骤(2)生成的SYN包后附加Options段。
(4)向服务端某端口发送修改后的SYN包。
(5)扫描器在完成SYN包的发送后即进入等待状态,等待被扫描的服务端返回SYN+ACK包。
(6)当SYN包经过数据链路中的防火墙设备时,防火墙先对SYN包的有效性进行校验,校验通过后再解析出SYN包中各字段的值,并与已配置防火墙规则进行对比,如没有触发防火墙策略则防火墙设备继续向后转发该SYN包。
(7)服务器收到SYN包后,根据TCP/IP协议中规定的三次握手机制向扫描器端返回SYN+ACK包。
(8)扫描器收到SYN+ACK包,判断服务端端口开放,完成目标主机探测。
SYN包的具体修改方式如下:
(1)将SYN包头中的Identification字段设置为随机值。如下所示:
其中,Identification字段为从SYN包头起始位置开始偏移32bit,长度为16bit的字段。当初始SYN包生成后,该字段为一固定值,这里需要使用随机数生成函数获得一个二进制长度不超过16bit的随机数,并将该随机数赋值给Identification字段。
(2)为步骤(1)中获得的SYN包添加Options段,Options段添加后的SYN包数据结构如下所示:
其中,Options段为从SYN包头起始位置开始偏移160bit,长度因Options段的类型而异。此处使用现代TCP/IP协议头中常见的MSS类型Options段,此类型的Options段长度为4byte,即32bit。其中包括Options段类型(op_kind)8bit,Options段长度(op_len)8bit,Options段中的值(mss_val)16bit。op_kind赋值为2,op_len赋值为4,mss_val同样使用最常出现的值1460。
通过上述两步获得本实施例中所属的修改后的SYN包。
对于本实施例针对的扫描链路中存在特定防火墙设备的场景,修改前的主机探测成功率为0%,修改后的主机探测成功率为100%,成功率提升100%。
Claims (6)
1.一种规避防火墙检测的无状态扫描方法,其步骤为:
1)扫描器生成基础SYN包并随机化该基础SYN包中的设定的协议字段;其中,基础SYN包为不携带Options段的SYN数据包;
2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;
3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。
2.如权利要求1所述的方法,其特征在于,该设定的协议字段为基础SYN包的包头中的Identification字段。
3.如权利要求1或2所述的方法,其特征在于,步骤1)中,扫描器使用随机数生成函数生成一随机数,然后将基础SYN包的包头中的Identification字段替换为该随机数。
4.如权利要求3所述的方法,其特征在于,该随机数为一个二进制长度不超过16bit的随机数。
5.如权利要求1所述的方法,其特征在于,将TCP/IP协议中的Options段作为步骤1)处理后的SYN包中的最后一个协议字段,附加在步骤1)处理后的SYN包中。
6.如权利要求1或5所述的方法,其特征在于,所述Options段的类型为MSS类型、长度为8bit、值为1460,Options段总长度32bit。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610810508.7A CN106453254B (zh) | 2016-09-08 | 2016-09-08 | 一种规避防火墙检测的无状态扫描方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610810508.7A CN106453254B (zh) | 2016-09-08 | 2016-09-08 | 一种规避防火墙检测的无状态扫描方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106453254A true CN106453254A (zh) | 2017-02-22 |
CN106453254B CN106453254B (zh) | 2019-08-27 |
Family
ID=58165234
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610810508.7A Active CN106453254B (zh) | 2016-09-08 | 2016-09-08 | 一种规避防火墙检测的无状态扫描方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453254B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579984A (zh) * | 2017-09-15 | 2018-01-12 | 哈尔滨工程大学 | 一种面向网络层的安全通信链路建立方法 |
CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
CN110380935A (zh) * | 2019-07-23 | 2019-10-25 | 杭州数梦工场科技有限公司 | 端口扫描方法与装置 |
CN115412470A (zh) * | 2022-07-12 | 2022-11-29 | 广州大学 | 一种规避特征检测的无状态扫描方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
CN105634858A (zh) * | 2014-11-28 | 2016-06-01 | 中车大连电力牵引研发中心有限公司 | 用于检测制动网关性能的测试系统 |
-
2016
- 2016-09-08 CN CN201610810508.7A patent/CN106453254B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599957A (zh) * | 2009-06-04 | 2009-12-09 | 东软集团股份有限公司 | 一种syn洪水攻击的防御方法和装置 |
CN105634858A (zh) * | 2014-11-28 | 2016-06-01 | 中车大连电力牵引研发中心有限公司 | 用于检测制动网关性能的测试系统 |
Non-Patent Citations (2)
Title |
---|
SMILE_NAGIOS: "Sniffer使用攻略经验:[2]分析SYN数据", 《HTTPS//JINGYAN.BAIDU.COM/ARTICLE/647F0》 * |
刘书健: "基于Zmap的DoS攻击可行性分析与研究", 《化工自动化及仪表》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107579984A (zh) * | 2017-09-15 | 2018-01-12 | 哈尔滨工程大学 | 一种面向网络层的安全通信链路建立方法 |
CN107579984B (zh) * | 2017-09-15 | 2020-12-18 | 哈尔滨工程大学 | 一种面向网络层的安全通信链路建立方法 |
CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
CN110380935A (zh) * | 2019-07-23 | 2019-10-25 | 杭州数梦工场科技有限公司 | 端口扫描方法与装置 |
CN115412470A (zh) * | 2022-07-12 | 2022-11-29 | 广州大学 | 一种规避特征检测的无状态扫描方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106453254B (zh) | 2019-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2346205B1 (en) | A method and device for preventing network attack | |
CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
US7640338B2 (en) | System and method for mitigation of malicious network node activity | |
US7904597B2 (en) | Systems and processes of identifying P2P applications based on behavioral signatures | |
CN106453254A (zh) | 一种规避防火墙检测的无状态扫描方法 | |
US10530644B2 (en) | Techniques for establishing a communication connection between two network entities via different network flows | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
CN101465856A (zh) | 一种对用户进行访问控制的方法和系统 | |
KR101430032B1 (ko) | 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법 | |
CN108471369A (zh) | 一种网络拨号方法、装置及存储介质 | |
CN105262836A (zh) | 服务器推送信息的方法及客户端接收推送信息的方法 | |
CN114301676B (zh) | 一种电力监控系统的无损化资产探测方法、装置和存储介质 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
WO2020033540A1 (en) | System and method for covertly transmitting a payload of data | |
JP2006203575A (ja) | 通信方法 | |
CN103281317A (zh) | 一种软件定义网络的攻击测试方法 | |
US20200379834A1 (en) | Covertly storing a payload of data within a network | |
CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
Kumar et al. | An innovative UDP port scanning technique | |
CN105306494A (zh) | 一种防止dos攻击的服务器及方法 | |
CN106789864B (zh) | 一种报文防攻击方法及装置 | |
JP3841417B2 (ja) | 通信接続方法、サーバ計算機、および、プログラム | |
Bellis et al. | DNS Stateful Operations | |
US11659603B2 (en) | Method of communication between a device and a network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: Room 301, Unit 1, 3rd Floor, Building 15, No.1 Courtyard, Gaolizhang Road, Haidian District, Beijing, 100080 Patentee after: BEIJING KNOW FUTURE INFORMATION TECHNOLOGY CO.,LTD. Address before: 100102 room 112102, unit 1, building 3, yard 1, Futong East Street, Chaoyang District, Beijing Patentee before: BEIJING KNOW FUTURE INFORMATION TECHNOLOGY CO.,LTD. |
|
CP02 | Change in the address of a patent holder |