CN106453254A - 一种规避防火墙检测的无状态扫描方法 - Google Patents

一种规避防火墙检测的无状态扫描方法 Download PDF

Info

Publication number
CN106453254A
CN106453254A CN201610810508.7A CN201610810508A CN106453254A CN 106453254 A CN106453254 A CN 106453254A CN 201610810508 A CN201610810508 A CN 201610810508A CN 106453254 A CN106453254 A CN 106453254A
Authority
CN
China
Prior art keywords
syn
bag
syn bag
random number
scanner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610810508.7A
Other languages
English (en)
Other versions
CN106453254B (zh
Inventor
孙耀辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Future Information Technology Co Ltd
Original Assignee
Beijing Future Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Future Information Technology Co Ltd filed Critical Beijing Future Information Technology Co Ltd
Priority to CN201610810508.7A priority Critical patent/CN106453254B/zh
Publication of CN106453254A publication Critical patent/CN106453254A/zh
Application granted granted Critical
Publication of CN106453254B publication Critical patent/CN106453254B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种规避防火墙检测的无状态扫描方法。本方法为:1)扫描器生成不携带Options段的SYN包并随机化该数据包中的Identification字段;2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。采用本发明的方法,防火墙不再有可能从中找到特征,从而对扫描发包进行过滤,本发明提高了端口发现比例。

Description

一种规避防火墙检测的无状态扫描方法
技术领域
本发明涉及计算机信息技术领域,具体涉及一种规避防火墙检测的无状态扫描方法。
背景技术
TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态。正是操作系统在底层已经保存了这些状态我们在应用层使用起来才更方便可靠,但可靠的同时带来的是资源占用。
无状态扫描是指无需关心TCP状态,不占用系统TCP/IP协议栈资源,忘记SYN、ACK、FIN、TIMEWAIT等状态,不进行会话组包,在实现上也有可能需要把必要的信息存放在数据包本身中。如13年曾以44分钟扫描完全部互联网的ZMAP,之后出现的MASSCAN,都使用了这种无状态扫描技术,扫描速度比以往任何工具都有质的提升,后者更是提出了3分钟扫完互联网的极速。
目前被广泛使用的无状态扫描引擎有ZMAP、MASSCAN,由于其无需维护连接状态,因此可以达到极高的扫描速度。
ZMAP是美国密歇根大学研究者开发出一款工具,在第22届USENIX安全研讨会,以超过NMAP 1300倍的扫描速度声名鹊起,相比大名鼎鼎的NMAP全网扫描速度是他最大的亮点,在千兆网卡状态下,45分钟内扫描全网络IPv4地址。
SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
现有技术就是利用无状态扫描在扫描速度上优势大大提升扫描速度,但其更加侧重于包的发送速率和无状态扫描的实现方案,较少考虑防火墙的规避问题。
在正常的网络通信中,由于单一SYN包中各协议字段的值具有非常大的不确定性,防火墙很难针对这样的数据流量编写特定的过滤规则。但是当类似ZMAP这样的专注于端口扫描的工具所发出的SYN包中具有硬编码的协议字段时,防火墙就很容易针对这些这些特定的协议字段编写特定的过滤规则,而不用担心这样的过滤规则误伤正常的网络流量,造成扫描结果的漏报,如图1所示。
另外,上述无状态扫描技术中,单纯的出于发包速率等原因考虑,发出的SYN包并非现代TCP/IP协议中常见的完整SYN包,而是一种精简的SYN包,即缺少Options字段的SYN包,目的是实现同等网络带宽下更高的发包速率。但此种精简的SYN包因其结构的特殊性,可能触发某些防火墙的BUG,导致此类SYN包被防火墙直接丢弃。
发明内容
为克服现有技术中存在的不足,本发明的目的在于提供一种规避防火墙检测的无状态扫描方法,尽可能让无状态扫描所发出的SYN包模仿正常的网络通信流量,做到去特征化,并避免包中存在特异结构触发通信链路中设备的实现BUG。
为解决上述技术问题,本发明采用的具体方案为:
一种规避防火墙检测的无状态扫描方法,其步骤为:
1)扫描器生成基础SYN包并随机化该基础SYN包中的设定的协议字段;其中,基础SYN包为不携带Options段的SYN数据包;
2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;
3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。
进一步的,该设定的协议字段为基础SYN包的包头中的Identification字段。
进一步的,步骤1)中,扫描器使用随机数生成函数生成一随机数,然后将基础SYN包的包头中的Identification字段替换为该随机数。
进一步的,该随机数为一个二进制长度不超过16bit的随机数。
进一步的,将TCP/IP协议中的Options段作为步骤1)处理后的SYN包中的最后一个协议字段,附加在步骤1)处理后的SYN包中。
进一步的,所述Options段的类型为MSS类型、长度为8bit、值为1460,Options段总长度32bit。
本发明主要步骤包括:
1)无状态扫描工具生成不携带Options段的SYN数据包;
2)随机化所述SYN包中的Identification字段;
3)在SYN包中增加现代TCP/IP协议中常见的Options段;
4)发送经过上述处理的SYN包进行无状态扫描。
所述无状态扫描工具包括ZMAP和MASSCAN。
本发明的有益效果是:
(1)通过随机化协议字段,无状态扫描中所发SYN包与正常的网络通信流量中的SYN包几乎没有差别,尽可能避免协议字段的硬编码,防火墙不再有可能从中找到特征,从而对扫描发包进行过滤,提高了端口发现比例。
(2)通过在精简的SYN包中增加现代TCP/IP协议中常见的Options段,避免了特殊包结构触发通信链路中网络设备的BUG,进一步提高了端口发现比例。
附图说明
图1为现有方案中目标主机探测失败场景图。
图2为本方案中提供的无状态扫描方法流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
本实施例提供一种规避防火墙检测的无状态扫描方法,具体步骤如图2所示,具体步骤如下:
(1)组装不携带Options段的SYN包。
(2)使用随机数生成函数生成一个随机数,并将步骤(1)中生成的SYN包头中的Identification字段替换为该随机数。
(3)在步骤(2)生成的SYN包后附加Options段。
(4)向服务端某端口发送修改后的SYN包。
(5)扫描器在完成SYN包的发送后即进入等待状态,等待被扫描的服务端返回SYN+ACK包。
(6)当SYN包经过数据链路中的防火墙设备时,防火墙先对SYN包的有效性进行校验,校验通过后再解析出SYN包中各字段的值,并与已配置防火墙规则进行对比,如没有触发防火墙策略则防火墙设备继续向后转发该SYN包。
(7)服务器收到SYN包后,根据TCP/IP协议中规定的三次握手机制向扫描器端返回SYN+ACK包。
(8)扫描器收到SYN+ACK包,判断服务端端口开放,完成目标主机探测。
SYN包的具体修改方式如下:
(1)将SYN包头中的Identification字段设置为随机值。如下所示:
其中,Identification字段为从SYN包头起始位置开始偏移32bit,长度为16bit的字段。当初始SYN包生成后,该字段为一固定值,这里需要使用随机数生成函数获得一个二进制长度不超过16bit的随机数,并将该随机数赋值给Identification字段。
(2)为步骤(1)中获得的SYN包添加Options段,Options段添加后的SYN包数据结构如下所示:
其中,Options段为从SYN包头起始位置开始偏移160bit,长度因Options段的类型而异。此处使用现代TCP/IP协议头中常见的MSS类型Options段,此类型的Options段长度为4byte,即32bit。其中包括Options段类型(op_kind)8bit,Options段长度(op_len)8bit,Options段中的值(mss_val)16bit。op_kind赋值为2,op_len赋值为4,mss_val同样使用最常出现的值1460。
通过上述两步获得本实施例中所属的修改后的SYN包。
对于本实施例针对的扫描链路中存在特定防火墙设备的场景,修改前的主机探测成功率为0%,修改后的主机探测成功率为100%,成功率提升100%。

Claims (6)

1.一种规避防火墙检测的无状态扫描方法,其步骤为:
1)扫描器生成基础SYN包并随机化该基础SYN包中的设定的协议字段;其中,基础SYN包为不携带Options段的SYN数据包;
2)扫描器在步骤1)处理后的SYN包中增加TCP/IP协议中的Options段;
3)扫描器发送经过步骤2)处理后的SYN包进行无状态扫描。
2.如权利要求1所述的方法,其特征在于,该设定的协议字段为基础SYN包的包头中的Identification字段。
3.如权利要求1或2所述的方法,其特征在于,步骤1)中,扫描器使用随机数生成函数生成一随机数,然后将基础SYN包的包头中的Identification字段替换为该随机数。
4.如权利要求3所述的方法,其特征在于,该随机数为一个二进制长度不超过16bit的随机数。
5.如权利要求1所述的方法,其特征在于,将TCP/IP协议中的Options段作为步骤1)处理后的SYN包中的最后一个协议字段,附加在步骤1)处理后的SYN包中。
6.如权利要求1或5所述的方法,其特征在于,所述Options段的类型为MSS类型、长度为8bit、值为1460,Options段总长度32bit。
CN201610810508.7A 2016-09-08 2016-09-08 一种规避防火墙检测的无状态扫描方法 Active CN106453254B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610810508.7A CN106453254B (zh) 2016-09-08 2016-09-08 一种规避防火墙检测的无状态扫描方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610810508.7A CN106453254B (zh) 2016-09-08 2016-09-08 一种规避防火墙检测的无状态扫描方法

Publications (2)

Publication Number Publication Date
CN106453254A true CN106453254A (zh) 2017-02-22
CN106453254B CN106453254B (zh) 2019-08-27

Family

ID=58165234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610810508.7A Active CN106453254B (zh) 2016-09-08 2016-09-08 一种规避防火墙检测的无状态扫描方法

Country Status (1)

Country Link
CN (1) CN106453254B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107579984A (zh) * 2017-09-15 2018-01-12 哈尔滨工程大学 一种面向网络层的安全通信链路建立方法
CN109413104A (zh) * 2018-12-11 2019-03-01 中国电子科技网络信息安全有限公司 一种无状态tcp网络扫描方法
CN110380935A (zh) * 2019-07-23 2019-10-25 杭州数梦工场科技有限公司 端口扫描方法与装置
CN115412470A (zh) * 2022-07-12 2022-11-29 广州大学 一种规避特征检测的无状态扫描方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599957A (zh) * 2009-06-04 2009-12-09 东软集团股份有限公司 一种syn洪水攻击的防御方法和装置
CN105634858A (zh) * 2014-11-28 2016-06-01 中车大连电力牵引研发中心有限公司 用于检测制动网关性能的测试系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599957A (zh) * 2009-06-04 2009-12-09 东软集团股份有限公司 一种syn洪水攻击的防御方法和装置
CN105634858A (zh) * 2014-11-28 2016-06-01 中车大连电力牵引研发中心有限公司 用于检测制动网关性能的测试系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SMILE_NAGIOS: "Sniffer使用攻略经验:[2]分析SYN数据", 《HTTPS//JINGYAN.BAIDU.COM/ARTICLE/647F0》 *
刘书健: "基于Zmap的DoS攻击可行性分析与研究", 《化工自动化及仪表》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107579984A (zh) * 2017-09-15 2018-01-12 哈尔滨工程大学 一种面向网络层的安全通信链路建立方法
CN107579984B (zh) * 2017-09-15 2020-12-18 哈尔滨工程大学 一种面向网络层的安全通信链路建立方法
CN109413104A (zh) * 2018-12-11 2019-03-01 中国电子科技网络信息安全有限公司 一种无状态tcp网络扫描方法
CN110380935A (zh) * 2019-07-23 2019-10-25 杭州数梦工场科技有限公司 端口扫描方法与装置
CN115412470A (zh) * 2022-07-12 2022-11-29 广州大学 一种规避特征检测的无状态扫描方法

Also Published As

Publication number Publication date
CN106453254B (zh) 2019-08-27

Similar Documents

Publication Publication Date Title
EP2346205B1 (en) A method and device for preventing network attack
CN108551446B (zh) 防攻击的syn报文处理方法、装置、防火墙及存储介质
US7640338B2 (en) System and method for mitigation of malicious network node activity
US7904597B2 (en) Systems and processes of identifying P2P applications based on behavioral signatures
CN106453254A (zh) 一种规避防火墙检测的无状态扫描方法
US10530644B2 (en) Techniques for establishing a communication connection between two network entities via different network flows
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
CN101465856A (zh) 一种对用户进行访问控制的方法和系统
KR101430032B1 (ko) 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법
CN108471369A (zh) 一种网络拨号方法、装置及存储介质
CN105262836A (zh) 服务器推送信息的方法及客户端接收推送信息的方法
CN114301676B (zh) 一种电力监控系统的无损化资产探测方法、装置和存储介质
CN105812318A (zh) 用于在网络中防止攻击的方法、控制器和系统
WO2020033540A1 (en) System and method for covertly transmitting a payload of data
JP2006203575A (ja) 通信方法
CN103281317A (zh) 一种软件定义网络的攻击测试方法
US20200379834A1 (en) Covertly storing a payload of data within a network
CN113872949B (zh) 一种地址解析协议的应答方法及相关装置
Xiaorong et al. Security analysis for IPv6 neighbor discovery protocol
Kumar et al. An innovative UDP port scanning technique
CN105306494A (zh) 一种防止dos攻击的服务器及方法
CN106789864B (zh) 一种报文防攻击方法及装置
JP3841417B2 (ja) 通信接続方法、サーバ計算機、および、プログラム
Bellis et al. DNS Stateful Operations
US11659603B2 (en) Method of communication between a device and a network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: Room 301, Unit 1, 3rd Floor, Building 15, No.1 Courtyard, Gaolizhang Road, Haidian District, Beijing, 100080

Patentee after: BEIJING KNOW FUTURE INFORMATION TECHNOLOGY CO.,LTD.

Address before: 100102 room 112102, unit 1, building 3, yard 1, Futong East Street, Chaoyang District, Beijing

Patentee before: BEIJING KNOW FUTURE INFORMATION TECHNOLOGY CO.,LTD.

CP02 Change in the address of a patent holder