CN107306266B - 扫描中控服务器的方法及装置 - Google Patents
扫描中控服务器的方法及装置 Download PDFInfo
- Publication number
- CN107306266B CN107306266B CN201610262733.1A CN201610262733A CN107306266B CN 107306266 B CN107306266 B CN 107306266B CN 201610262733 A CN201610262733 A CN 201610262733A CN 107306266 B CN107306266 B CN 107306266B
- Authority
- CN
- China
- Prior art keywords
- server
- scanning
- packet
- protocol
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种扫描中控服务器的方法及装置。其方法包括:对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件;基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器。根据本申请的技术方案,实现了中控服务器的主动探测。
Description
技术领域
本申请涉及网络攻击防御领域,尤其涉及一种扫描中控服务器的方法及装置。
背景技术
DDOS攻击是一种常用的网络攻击手段,也是最有效的网络攻击手段之一。攻击者通过中央控制服务器,简称C&C(Command and control)Server,控制僵尸网络(Botnet)中的傀儡机(被黑客入侵并控制的主机为傀儡机)对目标进行DDOS攻击。在针对此种攻击的防御中,C&C中控服务器是必争之地,防御方如果能够有效的识别出中控服务器,不仅能够监测攻击的过程,而且能够在合适的时间采取多种手段进行针对性的防御,从而实现主动防御。现有技术中,通过部署针对特定C&C控制协议的蜜罐系统收集C&C行为,或者通过TCPSYN扫描。
现有技术存在以下缺陷:(1)基于蜜罐的C&C中控服务器监测技术是一种被动防御技术,并不能够主动发现网络空间中的中控服务器。(2)TCP SYN扫描是通过发送第一个tcpsyn包来判断端口的开放情况,并不与该端口上开放的服务进行交互,所以也不能进行中控服务器的识别。
发明内容
本申请的一个目的是提供一种扫描中控服务器的方法及装置,以实现对控制傀儡机发动网络攻击的中控服务器的主动扫描。
根据本申请的一方面,提供了一种扫描中控服务器的方法,其中,该方法包括以下步骤:
对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;
根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件;
基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器。
可选地,所述协议特征包括协议关键字,所述根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件的步骤包括:
根据提取出的协议关键字生成用于构造扫描所述中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字。
可选地,基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器的步骤包括:
根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包;
接收各个服务器响应于接收到的扫描数据包而返回的应答数据包;
根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
可选地,根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包的步骤包括:
根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
可选地,如果所述受控程序的传输层通信协议为TCP协议,则在根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包的步骤之前还包括:
向网络中的各个服务器发送握手信号包,以建立与所述各个服务器的TCP连接;
接收所述各个服务器响应于接收到的握手信号包而返回的确认信号包;
响应于接收到的网络中的任意服务器返回的确认信号包,向该服务器发送连接信号包,以建立与该服务器的TCP连接。
可选地,该方法还包括:
如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
根据本申请的另一方面,还提供了一种扫描中控服务器的装置,其中,该装置包括:
协议分析单元,用于对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;
规则文件生成单元,用于根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件;
扫描单元,用于基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器。
可选地,所述协议特征包括协议关键字,所述规则文件生成单元进一步用于:
根据提取出的协议关键字生成用于构造扫描所述中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字。
可选地,所述扫描单元包括:
扫描数据包发送单元,用于根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包;
应答数据包接收单元,用于接收各个服务器响应于接收到的扫描数据包而返回的应答数据包;
中控服务器确定单元,用于根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
可选地,所述扫描数据包发送单元进一步用于:
根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
可选地,如果所述受控程序的传输层通信协议为TCP协议,则所述扫描单元还包括:
握手信号包发送单元,用于向网络中的各个服务器发送握手信号包;
确认信号包接收单元,用于接收各个服务器响应于接收到的握手信号包而返回的确认信号包;
TCP连接建立单元,用于响应于接收到的网络中的任意服务器返回的确认信号包,向该服务器发送连接信号包,以建立与该服务器的TCP连接。
可选地,所述扫描单元还包括:
TCP连接关闭单元,用于如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
与现有技术相比,本申请的实施例具有以下优点:
(1)本申请在分析傀儡机与其中控服务器之间的通信协议的基础上,针对整个网络中的服务器进行扫描,以扫描出符合所述通信协议的协议特征的服务器,从而确定为控制所述傀儡机的中控服务器,实现了中控服务器的主动探测。
(2)本申请针对TPC协议,通过建立与网络中的各个服务器的TCP连接对各个服务器进行扫描,能够与控制傀儡机的中控服务器上的主控程序进行通信,从而识别出网络中的中控服务器。并且本申请在扫描网络中的中控服务器的过程中,数据包的发送流程与数据包的接收和处理流程相对独立,即,采用无状态扫描的方式,提高了扫描的速率。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例提供的方法的流程图;
图2为图1中的步骤S130的一种具体实施方式的流程图;
图3为图2的步骤S134的具体流程图;
图4为图1中的步骤S130的另一种具体实施方式的流程图;
图5为图1中的步骤S130的又一种具体实施方式的流程图;
图6为本申请一个实施例提供的装置示意图;
图7为本申请实施例提供的装置中扫描单元230的一种实施方式示意图;
图8为本申请实施例提供的装置中扫描单元230的另一种实施方式的示意图;
图9为本申请实施例提供的装置中扫描单元230的又一种实施方式的示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
在上下文中所称“计算机设备”,也称为“电脑”,是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
傀儡机:也叫肉鸡,是指是被黑客远程控制的计算机。黑客可以随意操纵傀儡机并利用它做任何事情,例如发动网络攻击等。
中控服务器:中央控制服务器,也称C&C(command-and-control)server。黑客利用中控服务器统一发送指令给受控的傀儡机(肉鸡),例如,向傀儡机发送网络攻击指令,以控制傀儡机发动网络攻击。
受控程序:是指黑客安装在傀儡机上用于控制傀儡机的程序,黑客通过中控服务器上安装的主控程序与傀儡机上的受控程序进行通信,以达到控制傀儡机的目的。
协议分析:本申请中协议分析是指对网络通信协议进行分析,提取出网络通信协议的协议特征,其中,提取的协议特征主要包括协议类型、端口号和协议关键字等。
协议类型:例如,传输层协议的协议类型包括TCP协议、UDP协议等,应用层协议的协议类型包括FTP协议、HTTP协议等。
端口号:端口通常包括物理端口和逻辑端口,本申请中端口是指逻辑端口。逻辑端口就是逻辑上用于区分不同的服务的端口,例如,Web服务、FTP服务等。端口通过端口号来标记,端口号为整数,范围从0到65535。
协议关键字:是指进行网络通信时发送方发送的数据包与接收方返回的应答数据包进行匹配的字段。
规则文件:包含数据包构造部分和结果匹配部分。其中,数据包构造部分为用于构造扫描中控服务器的扫描数据包的数据包构造关键字;结果匹配部分为用于检测接收到的应答数据包是否符合所述网络通信协议的协议特征的结果匹配关键字。
下面结合附图对本申请作进一步详细描述。
图1为本申请一个实施例的扫描中控服务器的方法流程图。根据本申请的方法1至少包括步骤110、步骤120和步骤130。
参考图1,在步骤110中,对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征。
所述网络通信协议为控制所述傀儡机的中控服务器(C&C Server)与所述傀儡机进行通信所使用的网络通信协议。黑客入侵互联网上的多个主机获取控制权(例如,通过各种途径传播僵尸程序感染互联网上的大量主机),通过在每台被入侵的主机中植入的受控程序对其进行控制,其中,被黑客入侵并控制的主机为傀儡机。黑客通过中控服务器可以控制这些傀儡机发动网络攻击,例如DDoS攻击。中控服务器被黑客事先安装了主控程序,用于与傀儡机上的受控程序进行通信,以控制傀儡机发动网络攻击。中控服务器(主控程序)通过预先约定的网络通信协议与多个傀儡机(受控程序)进行网络通信,以便向傀儡机下达发动网络攻击的指令。
在一种具体的实施方式中,在任意一台傀儡机上进行抓包分析,以分析傀儡机上被植入的受控程序所使用的网络通信协议的协议特征,抓包分析时可以使用现有的抓包软件。所述协议特征包括但不限于:协议类型、端口号、协议关键字。其中,协议类型包括传输层协议,如,TCP协议、UDP协议等,以及应用层的协议。一些通信协议会使用固定的端口,对于长时间使用固定的端口的通信协议,可以获取该固定的端口的端口号作为一个协议特征,以便在进行扫描时根据端口号向该固定的端口发送扫描数据包。协议关键字是指进行网络通信时发送方发送的数据包与接收方返回的应答数据包进行匹配的字段,在本实施例中用于检测网络中的服务器返回的应答数据包是否符合受控程序的网络通信协议的协议特征,如果任意服务器返回的应答数据包符合所述网络通信协议的协议特征,则该服务器为控制所述傀儡机的中控服务器。
参考图1,在步骤120中,根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件。
所述规则文件包括数据包构造部分以及结果匹配部分。所述数据包构造部分为用于构造扫描中控服务器的扫描数据包的数据包构造关键字;所述结果匹配部分为用于检测接收到的应答数据包是否符合所述网络通信协议的协议特征的结果匹配关键字,也就是预期应答结果。具体而言,可以根据提取出的协议关键字生成用于构造扫描中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字。
以远程控制软件control 2.14为例,远程控制软件control 2.14的一个协议特征为当与服务器建立TCP连接之后,发送一个data字段为\x44\x45\x41\x54\x48\x51\x17\x00\x00\x00\x01\x00\x00\x00\x1a\xba\xb1\xd7\x2e\x96\xa6\x28\x42的TCP数据包至服务器时,服务器会返回一个带有\x44\x45\x41\x54\x48\x51\x17\x00\x00\x00\x01\x00\x00\x00\x1a\xba\x49\xd9\x2e\x96\x3f\x28\xdb的TCP数据包,根据这个协议特征,可生成规则文件如下:
数据包构造关键字为:
{$HEX}44:45:41:54:48:51:17:00:00:00:01:00:00:00:1a:ba:b1:d7:2e:96:a6:28:42;
结果匹配关键字为:
{$HEX}44:45:41:54:48:51:17:00:00:00:01:00:00:00:1a:ba:49:d9:2e:96:3f:28:db。
参考图1,在步骤130中,基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器。
步骤S130具体包括步骤S134、步骤S135和步骤S136。
参考图2,在步骤S134中,根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包。
参考图3,步骤S134具体可以包括以下子步骤:
步骤S1341,根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
其中,生成的针对各个服务器进行扫描的扫描数据包中包括但不限于所述数据包构造关键字、服务器的IP地址、目标端口号。
该扫描数据包的构造可以参考以下构造:
{$HEX}——数据包构造关键字(十六进制数据)
{$AUTOIP}——当前扫描的服务器的IP地址
{$AUTOPORT}——当前扫描端口(目标端口号)
优选地,若协议分析所提取出的协议特征为网络协议的固定端口号,则当前扫描端口号为该提取出的端口号,可以进行有针对性的扫描,从而提高扫描的效率。
步骤S1342中,向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
具体而言,可以将生成的针对各个服务器的扫描数据包放入发包队列中,以便向网络中的各个服务器发送。
参考图2,在步骤S135中,接收各个服务器响应于接收到的扫描数据包而返回的应答数据包。
网络中的服务器接收到扫描数据包,则返回应答数据包。
参考图2,在步骤S136中,根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
具体地,判断接收到的各个服务器返回的应答数据包是否包含所述规则文件中的结果匹配关键字。如果任意服务器返回的应答数据包中包含该结果匹配关键字,则可以将该服务器确定为控制所述傀儡机的中控服务器。例如,根据在步骤S120生成的规则文件,向各个服务器发送包含数据包构造关键字44:45:41:54:48:51:17:00:00:00:01:00:00:00:1a:ba:b1:d7:2e:96:a6:28:42的数据包,如果接收到任意服务器返回的应答数据包中包含结果匹配关键字:44:45:41:54:48:51:17:00:00:00:01:00:00:00:1a:ba:49:d9:2e:96:3f:28:db的数据包,则可以将该服务器确定为控制所述傀儡机的中控服务器。
上述实施例中,所述根据所述规则文件向网络中的各个服务器发送扫描数据包的步骤、与执行所述接收各个服务器响应于接收到的扫描数据包而返回的应答数据包的步骤为相互独立的流程。也就是说,发送数据包的流程和接收数据包的流程相互独立,从而实现了无状态扫描,提升了扫描的速度。
参考图4,基于上述实施例,如果所述受控程序的传输层通信协议为TCP协议,则在根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包的步骤S134之前,步骤S130还包括步骤S131、步骤S132和步骤S133。
在步骤S131中,向网络中的各个服务器发送握手信号包。其中,发包线程发送请求建立连接的第一次握手的握手信号包syn。
在步骤S132中,接收所述各个服务器响应于接收到的握手信号包而返回的确认信号包。接收线程接收任意服务器返回的第二次握手syn+ack包。
在步骤S133中,响应于接收到的网络中的任意服务器返回的确认信号包,向该服务器发送连接信号包,以建立与该服务器的TCP连接。
当接收线程接收到任意服务器返回的确认信号syn+ack包时,通知发包线程,发包线程向该服务器发送第三次握手的ack+seq包以及针对该服务器进行扫描的扫描数据包。
在上述步骤中,通过建立与网络中的各个服务器的TCP连接,能够与各个服务器进行通讯,从而能够与中控服务器上的主控程序进行通信,并识别出控制所述傀儡机的中控服务器。
并且,在上述步骤中,当接收到网络中的任意服务器返回的确认信号包时,向该服务器发送连接信号包以及扫描数据包,数据包的发送流程与接收和处理流程能够相对独立,即,实现了无状态扫描,提高了扫描速率。
参考图5,基于上述实施例,步骤S130还包括步骤S137。
在步骤S137中,如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
如果接收到任意服务器返回的应答数据包,则可以根据该应答数据包判断该服务器是否为控制所述傀儡机的中控服务器,不再需要与该服务器的TCP连接,则可以关闭与该服务器的TCP连接。
由于TCP协议的重传机制,如果不主动确认接收,则被扫描的服务器会多次重传确认数据包,因此当接收到任意服务器返回的应答数据包,可以通知数据包发送线程向该服务器发送连接复位数据包(RST数据包),以主动关闭与该服务器的TCP连接。
本申请在分析傀儡机上安装的受控程序所使用网络通信协议(即,傀儡机与中控服务器进行通信所使用的网络通信协议)的基础上,针对整个网络中的服务器进行扫描,以扫描出符合所述通信协议的协议特征的服务器,从而确定为控制所述傀儡机的中控服务器,实现了中控服务器的主动探测。本申请针对传输层协议为TPC协议的受控程序,通过建立与网络中的各个服务器的TCP连接对各个服务器进行扫描,能够与中控服务器上的主控程序进行通信,从而识别出网络中的中控服务器。本申请在扫描网络中的中控服务器的过程中,数据包的发送流程与数据包的接收和处理流程相对独立,即,采用无状态扫描的方式,提高了扫描的速率。
基于与方法同样的发明构思,本申请还提供一种扫描中控服务器的装置。图6所示为扫描中控服务器的装置2示意图,该装置包括:
协议分析单元210,用于对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;
规则文件生成单元220,用于根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件;
扫描单元230,用于基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器。
可选地,所述协议特征包括协议关键字,所述规则文件生成单元220进—步用于:
根据提取出的协议关键字生成用于构造扫描所述中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字。
参考图7,基于上述实施例,所述扫描单元230包括:
扫描数据包发送单元234,用于根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包;
应答数据包接收单元235,用于接收各个服务器响应于接收到的扫描数据包而返回的应答数据包;
中控服务器确定单元236,用于根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
可选地,所述扫描数据包发送单元234进一步用于:
根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
参考图8,基于上述实施例,如果所述受控程序的传输层通信协议为TCP协议,则所述扫描单元230还包括:
握手信号包发送单元231,用于向网络中的各个服务器发送握手信号包;
确认信号包接收单元232,用于接收各个服务器响应于接收到的握手信号包而返回的确认信号包;
TCP连接建立单元233,用于如果接收到网络中的任意服务器返回的确认信号包,则向该服务器发送连接信号包,以建立与该服务器的TCP连接。
参考图9,基于上述实施例,所述扫描单元230还包括:
TCP连接关闭单元237,用于如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,本申请的各个装置可采用专用集成电路(ASIC)或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
虽然前面特别示出并且描述了示例性实施例,但是本领域技术人员将会理解的是,在不背离权利要求书的精神和范围的情况下,在其形式和细节方面可以有所变化。
Claims (8)
1.一种扫描中控服务器的方法,其特征在于,该方法包括以下步骤:
对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;
根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件,其中,所述协议特征包括协议关键字,所述规则文件包括根据提取出的协议关键字生成的用于构造扫描所述中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字;
基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器;
其中,基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器的步骤包括:
根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包;
接收各个服务器响应于接收到的扫描数据包而返回的应答数据包;
根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
2.根据权利要求1所述的方法,其特征在于,根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包的步骤包括:
根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
3.根据权利要求1所述的方法,其特征在于,如果所述受控程序的传输层通信协议为TCP协议,则在根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包的步骤之前还包括:
向网络中的各个服务器发送握手信号包,以建立与所述各个服务器的TCP连接;
接收所述各个服务器响应于接收到的握手信号包而返回的确认信号包;
响应于接收到的网络中的任意服务器返回的确认信号包,向该服务器发送连接信号包,以建立与该服务器的TCP连接。
4.根据权利要求3所述的方法,其特征在于,还包括:
如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
5.一种扫描中控服务器的装置,其特征在于,该装置包括:
协议分析单元,用于对傀儡机上的受控程序进行协议分析,以提取出所述受控程序所使用的网络通信协议的协议特征;
规则文件生成单元,用于根据提取出的协议特征,生成扫描控制所述傀儡机的中控服务器所需的规则文件,其中,所述协议特征包括协议关键字,所述规则文件生成单元进一步用于:根据提取出的协议关键字生成用于构造扫描所述中控服务器的扫描数据包的数据包构造关键字,以及用于检测接收到的应答数据包是否符合所述协议特征的结果匹配关键字,并包含在规则文件中;
扫描单元,用于基于生成的规则文件,在网络中扫描控制所述傀儡机的中控服务器;其中所述扫描单元包括:
扫描数据包发送单元,用于根据所述规则文件中的数据包构造关键字向网络中的各个服务器发送扫描数据包;
应答数据包接收单元,用于接收各个服务器响应于接收到的扫描数据包而返回的应答数据包;
中控服务器确定单元,用于根据所述规则文件中的结果匹配关键字判断接收到的应答数据包是否符合所述协议特征,以确定出控制所述傀儡机的中控服务器。
6.根据权利要求5所述的装置,其特征在于,所述扫描数据包发送单元进一步用于:
根据所述规则文件中的数据包构造关键字、以及网络中的各个服务器的IP地址,生成针对所述各个服务器进行扫描的扫描数据包;
向网络中的各个服务器发送所生成的针对所述各个服务器进行扫描的扫描数据包。
7.根据权利要求5所述的装置,其特征在于,如果所述受控程序的传输层通信协议为TCP协议,则所述扫描单元还包括:
握手信号包发送单元,用于向网络中的各个服务器发送握手信号包;
确认信号包接收单元,用于接收各个服务器响应于接收到的握手信号包而返回的确认信号包;
TCP连接建立单元,用于响应于接收到的网络中的任意服务器返回的确认信号包,向该服务器发送连接信号包,以建立与该服务器的TCP连接。
8.根据权利要求7所述的装置,其特征在于,所述扫描单元还包括:
TCP连接关闭单元,用于如果接收到任意服务器响应于接收到的扫描数据包而返回的应答数据包,则向该服务器发送连接复位数据包,以关闭与该服务器的TCP连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610262733.1A CN107306266B (zh) | 2016-04-25 | 2016-04-25 | 扫描中控服务器的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610262733.1A CN107306266B (zh) | 2016-04-25 | 2016-04-25 | 扫描中控服务器的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107306266A CN107306266A (zh) | 2017-10-31 |
| CN107306266B true CN107306266B (zh) | 2020-08-04 |
Family
ID=60150904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610262733.1A Active CN107306266B (zh) | 2016-04-25 | 2016-04-25 | 扫描中控服务器的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107306266B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8752169B2 (en) * | 2008-03-31 | 2014-06-10 | Intel Corporation | Botnet spam detection and filtration on the source machine |
-
2016
- 2016-04-25 CN CN201610262733.1A patent/CN107306266B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、系统和设备 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107306266A (zh) | 2017-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11038906B1 (en) | Network threat validation and monitoring | |
| US7962957B2 (en) | Method and apparatus for detecting port scans with fake source address | |
| US20210344689A1 (en) | Distributed threat sensor data aggregation and data export | |
| US8881281B1 (en) | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data | |
| Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
| US20210344690A1 (en) | Distributed threat sensor analysis and correlation | |
| CN107135187A (zh) | 网络攻击的防控方法、装置及系统 | |
| US10798061B2 (en) | Automated learning of externally defined network assets by a network security device | |
| Dabbagh et al. | Slow port scanning detection | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| JP2013183458A (ja) | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US20110030059A1 (en) | Method for testing the security posture of a system | |
| US20210344726A1 (en) | Threat sensor deployment and management | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
| WO2017107804A1 (zh) | 发现DDoS攻击的方法及装置 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| US20140215599A1 (en) | Method and system for defeating denial of service attacks | |
| JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
| CN107306266B (zh) | 扫描中控服务器的方法及装置 | |
| Zhong et al. | Research on DDoS Attacks in IPv6 | |
| Salim et al. | A client/server based mechanism to prevent ARP spoofing attacks | |
| Gowda et al. | Detection And Prevention of ARP Attack in Software Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |