CN106453376B - 一种基于tcp包特征的无状态扫描过滤方法 - Google Patents
一种基于tcp包特征的无状态扫描过滤方法 Download PDFInfo
- Publication number
- CN106453376B CN106453376B CN201610968643.4A CN201610968643A CN106453376B CN 106453376 B CN106453376 B CN 106453376B CN 201610968643 A CN201610968643 A CN 201610968643A CN 106453376 B CN106453376 B CN 106453376B
- Authority
- CN
- China
- Prior art keywords
- packet
- stateless
- tcp
- scanning
- source port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于TCP包特征的无状态扫描过滤方法,包括以下步骤:在主机或者网关捕获接收到的TCP包,获取TCP包的数据序号位和源端口位;根据本地IP和远端IP取哈希,判断该哈希值是否和获取的数据序号位和源端口位一致;如果一致,则说明这个数据包为无状态扫描数据包,向发送方返回RST包,结束这个连接。本发明可以解决防火墙过滤无状态扫描数据包的难题,达到更好的安全防护目的,增加整个网络的安全性。
Description
技术领域
本发明涉及无状态扫描领域,具体涉及一种基于TCP包特征的无状态扫描过滤方法。
背景技术
一个完整的TCP会话的每个过程会有不同的状态,操作系统底层用协议栈的方式保存这些会话状态,来实现传输的可靠性。无状态扫描是指不关心TCP状态,不占用系统的TCP/IP协议栈资源,不进行会话组包,在实现上可能需要把必要的信息存放在数据包本身中。现在流行的无状态扫描工具有ZMAP等。
端口扫描是客户端向一定范围的服务器端口发送对应请求,以此确认可使用的端口。虽然其本身并不是恶意的网络活动,但也是网络攻击者探测目标主机服务,以利用该服务的已知漏洞的重要手段。端口扫描的主要用途仍然只是确认远程机器某个服务的可用性。端口扫描主要有TCP扫描和SYN扫描。TCP扫描:扫描工具使用操作系统原生的网络功能,且通常作为SYN扫描的替代选项。如果被扫描的主机端口是开放的,则扫描工具就可以通过TCP的三次握手连上该端口。这种扫面模式的优势是用户无需特殊权限,使用操作系统的原生网络功能。缺点是需要完成TCP的三次握手,扫描速度比较慢。SYN扫描:SYN扫描是另一种TCP扫描。端口扫描工具不使用操作系统的原生网络功能,而是自行生成、发送TCP数据包,并监控其回应。这种扫描模式被称为“半开放扫描”,因为它不建立完整的TCP连接。端口扫描工具生成一个SYN包,如果目标端口开放,则目标端口会返回SYN/ACK包,扫描工具会回复一个RST包中断连接。如果目标端口关闭了,目标端口会返回RST包。这种扫描方式的优点是无需建立完整的TCP连接,扫描速度更快。
通过防火墙来实现只允许特定范围的IP连接到主机。比如有一台有外网IP的主机开放6379端口,但只允许8.0.0.0到8.0.0.255这个IP段可以方案,在Linux平台,可以通过配置Iptables来实现。只允许特定范围的IP可以连接到主机,这种技术一般只用来在公司内部使用,限定的IP段也属于同一家公司,或者开放给合作伙伴使用。但是对于开放访问的WEB服务来说,不能使用这种技术。
端口扫描客户端在扫描特定主机开放端口时,大多沿一定顺序,逐个端口扫描,且每个端口发送的包大体相同。防火墙可以通过配置识别这些连续请求多个端口的IP,如果这些IP经常扫描本机,可以自动将这些IP加到防火墙的黑名单中,禁止这些IP访问。防火墙识别扫描IP黑名单技术,可以识别大多简单的扫免工具。但现在的一些扫描工具都可以随机化扫描端口。在大规模扫描中,IP和端口都是随机无序的,防火墙很难过滤这样的扫描客户端。
发明内容
本发明所要解决的技术问题是提供一种基于TCP包特征的无状态扫描过滤方法,用以解决一般防火墙无法过滤一些现代扫描工具的难题,达到一定的安全目的。
为解决上述技术问题,本发明采用的技术方案是:
一种基于TCP包特征的无状态扫描过滤方法,包括以下步骤:
步骤1:在主机或者网关捕获接收到的TCP包,获取TCP包的数据序号位和源端口位;
步骤2:根据本地IP和远端IP取哈希,判断该哈希值是否和获取的数据序号位和源端口位一致;
步骤3:如果一致,则说明这个数据包为无状态扫描数据包,向发送方返回RST包,结束这个连接。
进一步的,所述步骤2中,取哈希的具体方法是:针对收到的TCP包,取两端IP地址,用哈希算法计算两个IP,用公式计算,计算公式为:端口起始号+第二个编码数%剩余可用端口数,将计算结果和源端口位比较,如果计算结果和源端口位比较都一致,则该TCP包符合无状态扫描特征,判定该数据包为无状态扫描包。
与现有技术相比,本发明的有益效果是:解决防火墙过滤无状态扫描数据包的难题,达到更好的安全防护目的,增加整个网络的安全性。
具体实施方式
无状态扫描TCP包特征:因为无状态扫描不使用系统协议栈,所以需要将扫描信息编码到TCP包中,当收到扫描目的端回复的TCP包时,可以识别出该TCP包是回给扫描工具的。这个编码存储在TCP包的数据序号位和源端口位。其中,被编码的扫描信息为:发送端和目的端的IP地址。
无状态包过滤方法:捕获该主机或者该网关收到的所有TCP包,分析数据包的数据序号位和源端口位,如果符合上面叙述的无状态扫描特征,则证明该数据包是扫描客户端发送的,向对方发送RST包,中断这个TCP连接。
详述如下:
1)在主机或者网关捕获接收到的TCP包,获取TCP包的数据序号位和源端口位。2)根据本地IP和远端IP取哈希,判断该哈希值是否和获取的数据序号位和源端口位一致。3)如果一致,则说明这个数据包为无状态扫描数据包,向发送方返回RST包,结束这个连接。
取哈希方法具体为:针对收到的TCP包,取两端IP地址,用哈希算法计算两个IP。如:对8.8.8.8和8.8.4.4编码出的4个整数为:{12912816,1175904852,1886956615,2664335998},其中第一个整数12912816和TCP/IP包的数据序号位比较;第二个整数1175904852,用公式计算:端口起始号+第二个编码数%剩余可用端口数,将计算结果和源端口位比较,如果上面两个比较都一致,则该TCP包符合无状态扫描特征,即可判断该数据包为无状态扫描包。
Claims (1)
1.一种基于TCP包特征的无状态扫描过滤方法,其特征在于,包括以下步骤:
步骤1:在主机或者网关捕获接收到的TCP包,获取TCP包的数据序号位和源端口位;
步骤2:根据本地IP和远端IP取哈希,判断该哈希值是否和获取的数据序号位和源端口位一致;
步骤3:如果一致,则说明这个数据包为无状态扫描数据包,向发送方返回RST包,结束这个连接;
所述步骤2中,取哈希的具体方法是:针对收到的TCP包,取两端IP地址,用哈希算法计算两个IP,对两个IP编码出的4个整数,第一个整数和TCP/IP包的数据序号位比较,第二个整数用公式计算,计算公式为:端口起始号 + 第二个编码数 % 剩余可用端口数,将计算结果和源端口位比较,如果计算结果和源端口位比较都一致,则该TCP包符合无状态扫描特征,判定该数据包为无状态扫描包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610968643.4A CN106453376B (zh) | 2016-10-27 | 2016-10-27 | 一种基于tcp包特征的无状态扫描过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610968643.4A CN106453376B (zh) | 2016-10-27 | 2016-10-27 | 一种基于tcp包特征的无状态扫描过滤方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106453376A CN106453376A (zh) | 2017-02-22 |
| CN106453376B true CN106453376B (zh) | 2019-06-14 |
Family
ID=58180518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610968643.4A Active CN106453376B (zh) | 2016-10-27 | 2016-10-27 | 一种基于tcp包特征的无状态扫描过滤方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453376B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制系统的探测方法及装置 |
| CN107786556A (zh) * | 2017-10-24 | 2018-03-09 | 江苏神州信源系统工程有限公司 | 一种端口快速扫描方法与装置 |
| CN109347892B (zh) * | 2018-08-03 | 2021-09-03 | 奇安信科技集团股份有限公司 | 一种互联网工业资产扫描处理方法及装置 |
| CN113542270A (zh) * | 2021-07-14 | 2021-10-22 | 山东林天信息科技有限责任公司 | 一种互联网资产指纹快速探测方法与系统 |
| CN114928586A (zh) * | 2022-02-09 | 2022-08-19 | 浙江远望信息股份有限公司 | 一种基于主动扫描的nat设备发现方法 |
| CN114666169B (zh) * | 2022-05-24 | 2022-08-12 | 杭州安恒信息技术股份有限公司 | 一种扫描探测类型的识别方法、装置、设备及介质 |
| CN115412470A (zh) * | 2022-07-12 | 2022-11-29 | 广州大学 | 一种规避特征检测的无状态扫描方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917426A (zh) * | 2005-08-17 | 2007-02-21 | 国际商业机器公司 | 端口扫描方法与设备及其检测方法与设备、端口扫描系统 |
| CN101147376A (zh) * | 2005-02-04 | 2008-03-19 | 诺基亚公司 | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 |
| CN104468605A (zh) * | 2014-12-22 | 2015-03-25 | 北京极科极客科技有限公司 | 一种分布式安全认证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
-
2016
- 2016-10-27 CN CN201610968643.4A patent/CN106453376B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101147376A (zh) * | 2005-02-04 | 2008-03-19 | 诺基亚公司 | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 |
| CN1917426A (zh) * | 2005-08-17 | 2007-02-21 | 国际商业机器公司 | 端口扫描方法与设备及其检测方法与设备、端口扫描系统 |
| CN104468605A (zh) * | 2014-12-22 | 2015-03-25 | 北京极科极客科技有限公司 | 一种分布式安全认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106453376A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453376B (zh) | 一种基于tcp包特征的无状态扫描过滤方法 | |
| US7373663B2 (en) | Secret hashing for TCP SYN/FIN correspondence | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN107135187A (zh) | 网络攻击的防控方法、装置及系统 | |
| Alt et al. | Uncovering network tarpits with degreaser | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN101589595A (zh) | 用于潜在被污染端系统的牵制机制 | |
| CN104660952B (zh) | 视频会议通信方法和系统 | |
| CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
| CN101252592A (zh) | 一种ip网络的网络溯源方法和系统 | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| Foroushani et al. | TDFA: traceback-based defense against DDoS flooding attacks | |
| CN101176314A (zh) | 使呼叫发信与接收成为可能的点对点技术通信方法以及其系统 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN103905579A (zh) | 平台与终端间的通信方法、通信系统、平台及相关设备 | |
| CN104796423A (zh) | Arp双向主动防御方法 | |
| CN103685279A (zh) | 基于自适应的网络端口快速扫描方法 | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| CN106131039A (zh) | Syn洪泛攻击的处理方法及装置 | |
| CN106453254A (zh) | 一种规避防火墙检测的无状态扫描方法 | |
| CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| Castilho et al. | Proposed model to implement high-level information security in internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |