CN110380935A - 端口扫描方法与装置 - Google Patents
端口扫描方法与装置 Download PDFInfo
- Publication number
- CN110380935A CN110380935A CN201910666817.5A CN201910666817A CN110380935A CN 110380935 A CN110380935 A CN 110380935A CN 201910666817 A CN201910666817 A CN 201910666817A CN 110380935 A CN110380935 A CN 110380935A
- Authority
- CN
- China
- Prior art keywords
- port
- prescan
- address
- scanning
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供端口扫描方法与装置,以减少扫描误报。在端口扫描方法中,分两次对端口进行扫描,第一次扫描为预扫描,在预扫描过程中,并不会对IP地址的各端口逐个扫描,而是根据预扫描端口列表,对目标服务端口进行扫描,得到目标服务端口是否开放的预扫描结果。然后,根据预扫描结果更新排除列表,排除列表更新后进行的第二次扫描为正式扫描。由于排除列表中的IP地址和网段都是预判出来的、大概率会发生误报的IP地址和网段,在正式扫描中不会对其进行扫描,所以可减少正式扫描的误报,保证扫描的效率与准确性。
Description
技术领域
本发明涉及网络技术领域,特别涉及端口扫描方法与装置。
背景技术
端口扫描技术广泛运用于资产发现以及漏洞扫描等场景中。
传统的端口扫描方式会对每一IP地址的每一端口进行逐个扫描,得到其是否开放的扫描结果。但是,若遇到某网段部署有安全设备(例如防火墙),则可能产生大量误报。
以无状态扫描方式为例,会向对方发送SYN包,只需要对方返回了ACK即认为端口开放,而部分安全设备,对扫描所发送的SYN包均回复ACK包。因此,在遇到上述安全设备时,无论IP地址的端口是否结果,其扫描结果都是开放的,从而会产生大量误报。
发明内容
有鉴于此,本发明实施例提供端口扫描方法与装置,以减少扫描误报。
为实现上述目的,本发明实施例提供如下技术方案:
一种端口扫描方法,基于预扫描端口列表,上述预扫描端口列表包括全网开放数量低于第一阈值的服务端口号;
上述方法包括:
对扫描对象中各IP地址的目标服务端口进行预扫描,得到上述目标服务端口是否处于开放状态的预扫描结果;其中,上述目标服务端口与上述预扫描端口列表中的服务端口号一一对应;上述扫描对象包括至少一个网段;
根据上述预扫描结果,更新排除列表;上述排除列表包括发生误报的IP地址和发生误报的网段中的至少一种;其中,上述发生误报的IP地址的全部目标服务端口均处于开放状态;上述发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值;
对上述扫描对象中未列入上述排除列表的网段和IP地址进行端口扫描。
可选的,上述预扫描端口列表还包括用户自定义配置的服务端口号。
可选的,在进行预扫描之前,还包括:
采集互联网上全网开放数量低于上述第一阈值的服务端口号;
从采集到的服务端口号中选择至少一个服务端口号放入上述预扫描端口列表。
可选的,上述对扫描对象中未列入上述排除列表的网段和IP地址进行端口扫描包括:
对上述扫描对象中未列入上述排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描。
可选的,在对上述扫描对象中未列入上述排除列表的网段和IP地址进行端口扫描之后,还包括:保存端口扫描结果。
一种端口扫描装置,基于预扫描端口列表,上述预扫描端口列表包括全网开放数量低于第一阈值的服务端口号;
上述端口扫描装置包括:
预扫描单元,用于对扫描对象中各IP地址的目标服务端口进行预扫描,得到上述目标服务端口是否处于开放状态的预扫描结果;其中,上述目标服务端口与上述预扫描端口列表中的服务端口号一一对应;上述扫描对象包括至少一个网段;
排除列表生成单元,用于根据上述预扫描结果,更新排除列表;上述排除列表包括发生误报的IP地址和发生误报的网段中的至少一种;其中,上述发生误报的IP地址的全部目标服务端口均处于开放状态;上述发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值;
正式扫描单元,用于对上述扫描对象中未列入上述排除列表的网段和IP地址进行端口扫描。
可选的,上述预扫描端口列表还包括用户自定义配置的服务端口号。
可选的,还包括:
采集分析单元,用于:在进行预扫描之前,采集互联网上全网开放数量低于上述第一阈值的服务端口号;从采集到的服务端口号中选择至少一个服务端口号放入上述预扫描端口列表。
可选的,在对上述扫描对象中未列入上述排除列表的网段和IP地址进行端口扫描的方面,上述正式扫描单元具体用于:
对上述扫描对象中未列入上述排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描。
一种端口扫描装置,至少包括处理器和存储器;上述处理器通过执行上述存储器中存放的程序以及调用其他设备,执行上述的端口扫描方法。
可见,在本发明实施例中,分两次对端口进行扫描,第一次扫描为预扫描,在预扫描过程中,并不会对IP地址的各端口逐个扫描,而是根据预扫描端口列表,对目标服务端口进行扫描,得到目标服务端口是否开放的预扫描结果。由于,目标服务端口包含了全网开放数量低于第一阈值(也即最不常用)的服务端口,这些服务端口如果也是开放的,很大概率是因为相应网段部署了安全设备而被误报,因此将其放入排除列表中。同理,若某网段中发生误报的IP地址的数量超过或不小于第二阈值,也有很大的概率是该网段部署了安全设备而被误报,所以也将其放入排除列表中。在排除列表更新后进行的第二次扫描为正式扫描。在正式扫描中,会对扫描对象中未列入排除列表的网段和IP地址进行端口扫描。由于排除列表中的IP地址和网段都是预判出来的、大概率会发生误报的IP地址和网段,在正式扫描中不会对其进行扫描,所以可减少正式扫描的误报,保证扫描的效率与准确性。
附图说明
图1为本发明实施例提供的端口扫描装置应用场景示意图;
图2为本发明实施例提供的端口扫描方法的示例性流程图;
图3为本发明实施例提供的端口扫描方法的另一示例性流程图;
图4为本发明实施例提供的端口扫描装置的示例性结构图;
图5为本发明实施例提供的端口扫描装置的另一示例性结构图;
图6为本发明实施例提供的端口扫描装置的另一示例性结构图。
具体实施方式
为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结如下:
Nmap:Network Mapper,Nmap最早是Linux下的网络扫描和嗅探工具包;
TCP/IP:Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议;
SYN:Synchronize Sequence Numbers,同步序列编号,SYN是TCP/IP建立连接时使用的握手信号;
ACK:Acknowledgement,确认字符。在数据通信中接收方发送给发送方的一种传输类控制字符,表示发来的数据已确认接收无误;
Nginx:engine x。Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务;
漏洞扫描:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为;
RST:RST在TCP协议中表示复位,用来异常的关闭连接。
本发明实施例提供了端口扫描方法与装置,以减少扫描误报。
请参见图1,上述端口扫描装置可以软件或组件的形式部署于服务器(例如应用服务器、端口扫描服务器)或普通电脑上,对一个或多个网段进行端口扫描。
端口扫描技术可运用于资产发现、漏洞扫描等应用场景。
以资产发现为例,部署了端口扫描装置的服务器或普通电脑,可对某一或某些网段进行端口扫描和指纹识别,从而发现网段下所提供的业务,有哪些mysql(关系型数据库管理系统)、nginx,有哪些大数据服务等。
以漏洞扫描为例,漏洞扫描时常常可使用部署了端口扫描装置的服务器或普通电脑先进行端口扫描,通过端口扫描的结果来提高漏洞扫描的效率。
典型的端口扫描技术有两种方式,一种是以NMAP为代表的有状态扫描方式,这种扫描方式需要记录TCP/IP的状态,系统可以处理的连接数是有限的,所以这类扫描在并发性上有所限制。另一种是以MASSCAN为代表的无状态的扫描方式(异步),其原理是不建立完整的TCP连接,收到SYN/ACK之后,发送RST结束连接。
无论哪种扫描技术,都需要保证扫描结果的准确性,如果扫描结果产生了大量误报,即未打开或无法连接的端口也认为是开放的,那么这样的扫描结果是没有价值的。
误报的原因之一是网段中部署了安全设备(例如防火墙),以无状态扫描方式为例,会向对方发送SYN包,只需要对方返回了ACK即认为端口开放。
假定在扫描10.0.0.0/8网络中常见的WEB服务端口(80、8080、443、8443等等)时,其中的10.1.0.0/16网段部署有防火墙,该防火墙对扫描所发送的SYN包均回复ACK包,则会导致10.1.0.0/16网段中所有IP地址的所有服务端口的扫描结果都是开放的,从而产生大量误报。
说明一下IP地址与服务端口之间的关系:IP地址是对外提供的通信地址,服务端口就是在IP地址上再开放出来的通信窗口,一个IP地址可以有1-65535个服务端口对外同时提供服务。
为解决误报问题,请参见图2,由端口扫描装置所执行的端口扫描方法示例性得包括如下步骤:
S1:对扫描对象中各IP地址的目标服务端口进行预扫描,得到目标服务端口是否处于开放状态的预扫描结果。
需要说明的是,预扫描过程可由用户配置是否启用,端口扫描装置可提供人机交互界面供用户选择是否启用预扫描,若用户选择启用,则会在正式扫描前先进行预扫描。
在本实施例中,扫描对象可包括至少一个网段。
上述目标服务端口与预扫描端口列表中的服务端口号是一一对应。
在一个示例中,预扫描端口列表包括全网开放数量低于第一阈值的服务端口号,也即,预扫描端口列表包括最不常用的服务端口号。
第一阈值可根据实际需要灵活设置,举例来讲,从网站https://www.shodan.io中可以快速分析出端口号9、12、14、16等服务端口,在全互联网上的开放数量(IP地址数量)只有30个以内,而在全互联网上存在18846077个IP地址开放了普通端口22。则第一阈值可设计为30,或者低于30。
预扫描端口列表中的端口号数量越多,越能保证扫描的准确性,但端口号数量过多则会增加预扫描的耗时进而降低整个扫描的速度。根据实际测试和理论计算结果,一般可选取最不常用的两个服务端口号就足以保证预扫描的效果。因此,系统默认在预扫描端口列表中包含两个服务端口号,例如端口号9、端口号12。
在另一个示例中,预扫描端口列表还可包括用户自定义配置的服务端口号,也即用户可指定在预扫描过程中启用更多的服务端口号。
用户自定义配置的服务端口号,可仍是全网开放数量低于第一阈值的服务端口号。沿用前例,端口号9、12、14、16等服务端口在全互联网上的开放数量只有30个,系统默认预扫描端口列表中包含端口号9、端口号12,则用户可从端口号14、16中选择至少一个加入预扫描端口列表。
当然,在本发明其他实施例中,用户自定义配置的服务端口号,也可以是全网开放数量高于第一阈值的服务端口号。
配置方式可以是向用户提供输入框,由用户输入服务端口号,端口扫描装置将其加入预扫描端口列表。此外,也可向用户提供下拉选项等对话框,将用户选中的服务端口号加入预扫描端口列表。举例来讲,可向用户提供包含端口号14、16中选择至少的单选或多选对话框,用户进行选中操作,将用户选中的服务端口号加入预扫描端口列表。
S2:根据预扫描结果,更新排除列表。
排除列表包括发生误报的IP地址和发生误报的网段中的至少一种。
其中,发生误报的IP地址的全部目标服务端口均处于开放状态;举例来讲,假定预扫描端口列表包含端口号9、12,由于绝大部分主机都不会开放预扫描端口列表中的端口,因此,若某IP地址中端口号为9、12的端口均处于开放状态,则认为是存在误报的IP地址。
而发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值。
第二阈值可根据实际需要灵活设计,例如,假定网段中包括M个IP地址,可设计第二阈值不小于M/2。
S3:对上述扫描对象中未列入排除列表的网段和IP地址进行端口扫描。
步骤S3执行的是正式扫描。
举例来讲,假定扫描对象包含网段a-d,排除列表中包括网段a、IP地址m1-mx,其中,IP地址m1-mx属于网段c,则在正式扫描过程中,不会对网段a进行扫描,也不会对网段c中的m1-mx这些IP地址进行扫描。
具体的,在正式扫描过程中,会对扫描对象中未列入排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描,扫描方式不限。
S4:保存端口扫描结果。
步骤S4保存的是正式扫描结果,也即,降低扫描误报后的扫描结果数据。
可见,在本发明实施例中,分两次对端口进行扫描,第一次扫描为预扫描,在预扫描过程中,并不会对IP地址的各端口逐个扫描,而是根据预扫描端口列表,对目标服务端口进行扫描,得到目标服务端口是否开放的预扫描结果。由于,目标服务端口包含了全网开放数量低于第一阈值(也即最不常用)的服务端口,这些服务端口如果也是开放的,很大概率是因为相应网段部署了安全设备而被误报,因此将其放入排除列表中。同理,若某网段中发生误报的IP地址的数量超过或不小于第二阈值,也有很大的概率是该网段部署了安全设备而被误报,所以也将其放入排除列表中。在排除列表更新后进行的第二次扫描为正式扫描。在正式扫描中,会对扫描对象中未列入排除列表的网段和IP地址进行端口扫描。由于排除列表中的IP地址和网段都是预判出来的、大概率会发生误报的IP地址和网段,在正式扫描中不会对其进行扫描,所以可减少正式扫描的误报,保证扫描的效率与准确性。
在实际使用中,扫描者在不确认网络中是否一定没有防火墙等可能会导致扫描误报的情况下,可以启用一遍快速的预扫描,扫描系统根据预扫描的结果来排除大概率存在误报的IP,在正式扫描过程中就可以保证扫描的效率与准确性。
下面对端口扫描方法进行更为详细的介绍,请参见图3,其示例性得包括如下步骤:
S301:采集互联网上全网开放数量低于第一阈值的服务端口号;
第一阈值的相关介绍请参见本文前述记载,在此不作赘述。
S302:从采集到的服务端口号中选择至少一个服务端口号放入预扫描端口列表。
预扫描端口列表的相关介绍请参见本文前述记载,在此不作赘述。
S303:对扫描对象中各IP地址的目标服务端口进行预扫描,得到目标服务端口是否处于开放状态的预扫描结果。
在一个示例中,可使用两个不同的数值、字符等表示是否处于开放状态。例如,以“1”表示开放,以“0”表示未开放。
S303与前述的S1相类似,在此不作赘述。
S304:判断扫描对象中每一IP地址的全部目标服务端口是否均处于开放状态,若是,进入S305,若否,则不进行处理,继续对下一IP地址进行判断,直至扫描对象中的所有IP地址均判断完毕。
S305:将全部目标服务端口均处于开放状态的IP地址或相应网段放入排除列表。
前述提及了,排除列表包括发生误报的IP地址和发生误报的网段中的至少一种。其中,在发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值。
以IP地址m1为例,若其全部目标服务端口均处于开放状态,并且,其所在网段a中发生误报的IP地址(包括IP地址m1)的数量超过了第二阈值,则可将网段a放入排除列表。
而若其所在网段a中发生误报的IP地址(包括IP地址m1)的总数量小于第二阈值,则可将IP地址m1放入排除列表。
S306:对上述扫描对象中未列入排除列表的网段和IP地址进行端口扫描。
S306与前述的S3相类似,在此不作赘述。
S307:保存端口扫描结果。
S307与前述的S4相类似,在此不作赘述。
图4示出了上述端口扫描装置的一种示例性结构,包括:预扫描单元1、排除列表生成单元2和正式扫描单元3。
预扫描单元1用于:对扫描对象中各IP地址的目标服务端口进行预扫描,得到目标服务端口是否处于开放状态的预扫描结果。
其中,目标服务端口与预扫描端口列表中的服务端口号一一对应;扫描对象包括至少一个网段。
预扫描端口列表可包括全网开放数量低于第一阈值的服务端口号。
在本发明其他实施例中,上述预扫描端口列表还包括用户自定义配置的服务端口号。
排除列表生成单元2用于:根据预扫描结果,更新排除列表。
排除列表包括发生误报的IP地址和发生误报的网段中的至少一种。
具体的,发生误报的IP地址的全部目标服务端口均处于开放状态;发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值。
正式扫描单元3用于:对扫描对象中未列入排除列表的网段和IP地址进行端口扫描。
具体介绍请参见本文前述介绍,在此不作赘述。
在本发明其他实施例中,仍请参见图5,上述端口扫描装置还可包括采集分析单元4,用于:在进行预扫描之前,采集互联网上全网开放数量低于第一阈值的服务端口号;从采集到的服务端口号中选择至少一个服务端口号放入预扫描端口列表。
在本发明其他实施例中,在对扫描对象中未列入排除列表的网段和IP地址进行端口扫描的方面,上述正式扫描单元3可具体用于:
对扫描对象中未列入排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描。
图6示出了上述实施例中端口扫描装置的一种可能的结构示意图,包括:总线、处理器1、存储器2、通信接口3、输入设备4和输出设备5。处理器1、存储器2、通信接口3、输入设备4和输出设备5通过总线相互连接。其中:
总线可包括一通路,在计算机系统各个部件之间传送信息。
处理器1可以是通用处理器,例如通用中央处理器(CPU)、网络处理器(NetworkProcessor,简称NP)、微处理器等,也可以是特定应用集成电路(application-specificintegrated circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。还可以是数字信号处理器(DSP)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器2中保存有执行本发明技术方案的程序或脚本,还可以保存有操作系统和其他关键业务。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。脚本则通常以文本(如ASCII)保存,只在被调用时进行解释或编译。
输入设备4可包括接收用户输入的数据和信息的装置,例如键盘、鼠标、摄像头、语音输入装置、触摸屏等。
输出设备5可包括允许输出信息给用户的装置,例如显示屏、扬声器等。
通信接口3可包括使用任何收发器一类的装置,以便与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(WLAN)等。
处理器1通过执行存储器2中所存放的程序以及调用其他设备,可实现上述实施例提供的端口扫描方法。
此外,图5所示的端口扫描装置各单元的功能,可由前述的处理器1执行存储器2中所存放的程序以及调用其他设备实现。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及模型步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或模型的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、WD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种端口扫描方法,其特征在于,基于预扫描端口列表,所述预扫描端口列表包括全网开放数量低于第一阈值的服务端口号;
所述方法包括:
对扫描对象中各IP地址的目标服务端口进行预扫描,得到所述目标服务端口是否处于开放状态的预扫描结果;其中,所述目标服务端口与所述预扫描端口列表中的服务端口号一一对应;所述扫描对象包括至少一个网段;
根据所述预扫描结果,更新排除列表;所述排除列表包括发生误报的IP地址和发生误报的网段中的至少一种;其中,所述发生误报的IP地址的全部目标服务端口均处于开放状态;所述发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值;
对所述扫描对象中未列入所述排除列表的网段和IP地址进行端口扫描。
2.如权利要求1所述的方法,其特征在于,所述预扫描端口列表还包括用户自定义配置的服务端口号。
3.如权利要求2所述的方法,其特征在于,在进行预扫描之前,还包括:
采集互联网上全网开放数量低于所述第一阈值的服务端口号;
从采集到的服务端口号中选择至少一个服务端口号放入所述预扫描端口列表。
4.如权利要求1所述的方法,其特征在于,所述对扫描对象中未列入所述排除列表的网段和IP地址进行端口扫描包括:
对所述扫描对象中未列入所述排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描。
5.如权利要求1所述的方法,其特征在于,在对所述扫描对象中未列入所述排除列表的网段和IP地址进行端口扫描之后,还包括:保存端口扫描结果。
6.一种端口扫描装置,其特征在于,基于预扫描端口列表,所述预扫描端口列表包括全网开放数量低于第一阈值的服务端口号;
所述端口扫描装置包括:
预扫描单元,用于对扫描对象中各IP地址的目标服务端口进行预扫描,得到所述目标服务端口是否处于开放状态的预扫描结果;其中,所述目标服务端口与所述预扫描端口列表中的服务端口号一一对应;所述扫描对象包括至少一个网段;
排除列表生成单元,用于根据所述预扫描结果,更新排除列表;所述排除列表包括发生误报的IP地址和发生误报的网段中的至少一种;其中,所述发生误报的IP地址的全部目标服务端口均处于开放状态;所述发生误报的网段中,发生误报的IP地址的数量超过或不小于第二阈值;
正式扫描单元,用于对所述扫描对象中未列入所述排除列表的网段和IP地址进行端口扫描。
7.如权利要求6所述的端口扫描装置,其特征在于,所述预扫描端口列表还包括用户自定义配置的服务端口号。
8.如权利要求7所述的端口扫描装置,其特征在于,还包括:
采集分析单元,用于:在进行预扫描之前,采集互联网上全网开放数量低于所述第一阈值的服务端口号;从采集到的服务端口号中选择至少一个服务端口号放入所述预扫描端口列表。
9.如权利要求6所述的端口扫描装置,其特征在于,在对所述扫描对象中未列入所述排除列表的网段和IP地址进行端口扫描的方面,所述正式扫描单元具体用于:
对所述扫描对象中未列入所述排除列表的网段和IP地址的全部端口或指定端口,进行无状态扫描或有状态扫描。
10.一种端口扫描装置,其特征在于,至少包括处理器和存储器;所述处理器通过执行所述存储器中存放的程序以及调用其他设备,执行如权利要求1-5任一项所述的端口扫描方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910666817.5A CN110380935B (zh) | 2019-07-23 | 2019-07-23 | 端口扫描方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910666817.5A CN110380935B (zh) | 2019-07-23 | 2019-07-23 | 端口扫描方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110380935A true CN110380935A (zh) | 2019-10-25 |
| CN110380935B CN110380935B (zh) | 2021-02-12 |
Family
ID=68255032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910666817.5A Active CN110380935B (zh) | 2019-07-23 | 2019-07-23 | 端口扫描方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110380935B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314178A (zh) * | 2020-02-25 | 2020-06-19 | 国网湖南省电力有限公司 | 一种电力监控系统设备违规外联检测方法、系统及介质 |
| CN111526125A (zh) * | 2020-03-27 | 2020-08-11 | 杭州迪普科技股份有限公司 | 通信装置和方法 |
| CN112596874A (zh) * | 2020-12-16 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及电子设备 |
| CN113420303A (zh) * | 2021-07-14 | 2021-09-21 | 广东电网有限责任公司广州供电局 | 基于端口扫描的变电站主机安全漏洞检测方法和系统 |
| CN113938404A (zh) * | 2021-10-12 | 2022-01-14 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备、系统及存储介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238030A (zh) * | 2011-05-16 | 2011-11-09 | 北京全路通信信号研究设计院有限公司 | 信号安全数据网系统和网管系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN104022905A (zh) * | 2014-06-13 | 2014-09-03 | 中国民航信息网络股份有限公司 | 节点网络监控方法及装置 |
| US20150081771A1 (en) * | 2008-10-03 | 2015-03-19 | Systech Corporation | Remote port access (rpa) server |
| CN104869020A (zh) * | 2015-05-22 | 2015-08-26 | 国云科技股份有限公司 | 一种监控云服务器网络端口的方法 |
| CN105490866A (zh) * | 2014-09-19 | 2016-04-13 | 国家电网公司 | 主机开放端口审计的方法和系统 |
| US20160359806A1 (en) * | 2011-02-16 | 2016-12-08 | Fortinet, Inc. | Load balancing among a cluster of firewall security devices |
| CN106453254A (zh) * | 2016-09-08 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种规避防火墙检测的无状态扫描方法 |
| CN106789411A (zh) * | 2016-12-07 | 2017-05-31 | 北京亚鸿世纪科技发展有限公司 | 一种机房内活跃ip数据的采集方法和装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN106992955A (zh) * | 2016-01-20 | 2017-07-28 | 深圳市中电智慧信息安全技术有限公司 | Apt防火墙 |
| CN108574681A (zh) * | 2017-03-13 | 2018-09-25 | 贵州白山云科技有限公司 | 一种服务器智能扫描方法及装置 |
| CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、系统和计算机可读存储介质 |
| CN109104395A (zh) * | 2017-06-21 | 2018-12-28 | 亿阳安全技术有限公司 | 互联网资产扫描发现与服务识别的方法和装置 |
| CN109951466A (zh) * | 2019-03-08 | 2019-06-28 | 新华三信息安全技术有限公司 | 端口流量监控方法、装置、电子设备及机器可读存储介质 |
-
2019
- 2019-07-23 CN CN201910666817.5A patent/CN110380935B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150081771A1 (en) * | 2008-10-03 | 2015-03-19 | Systech Corporation | Remote port access (rpa) server |
| US20160359806A1 (en) * | 2011-02-16 | 2016-12-08 | Fortinet, Inc. | Load balancing among a cluster of firewall security devices |
| CN102238030A (zh) * | 2011-05-16 | 2011-11-09 | 北京全路通信信号研究设计院有限公司 | 信号安全数据网系统和网管系统 |
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN104022905A (zh) * | 2014-06-13 | 2014-09-03 | 中国民航信息网络股份有限公司 | 节点网络监控方法及装置 |
| CN105490866A (zh) * | 2014-09-19 | 2016-04-13 | 国家电网公司 | 主机开放端口审计的方法和系统 |
| CN104869020A (zh) * | 2015-05-22 | 2015-08-26 | 国云科技股份有限公司 | 一种监控云服务器网络端口的方法 |
| CN106992955A (zh) * | 2016-01-20 | 2017-07-28 | 深圳市中电智慧信息安全技术有限公司 | Apt防火墙 |
| CN106453254A (zh) * | 2016-09-08 | 2017-02-22 | 北京知道未来信息技术有限公司 | 一种规避防火墙检测的无状态扫描方法 |
| CN106789411A (zh) * | 2016-12-07 | 2017-05-31 | 北京亚鸿世纪科技发展有限公司 | 一种机房内活跃ip数据的采集方法和装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN108574681A (zh) * | 2017-03-13 | 2018-09-25 | 贵州白山云科技有限公司 | 一种服务器智能扫描方法及装置 |
| CN109104395A (zh) * | 2017-06-21 | 2018-12-28 | 亿阳安全技术有限公司 | 互联网资产扫描发现与服务识别的方法和装置 |
| CN109039812A (zh) * | 2018-07-20 | 2018-12-18 | 深圳前海微众银行股份有限公司 | 端口检测方法、系统和计算机可读存储介质 |
| CN109951466A (zh) * | 2019-03-08 | 2019-06-28 | 新华三信息安全技术有限公司 | 端口流量监控方法、装置、电子设备及机器可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陈瑾: "试论端口扫描与检测技术", 《网络安全技术与应用》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314178A (zh) * | 2020-02-25 | 2020-06-19 | 国网湖南省电力有限公司 | 一种电力监控系统设备违规外联检测方法、系统及介质 |
| CN111526125A (zh) * | 2020-03-27 | 2020-08-11 | 杭州迪普科技股份有限公司 | 通信装置和方法 |
| CN111526125B (zh) * | 2020-03-27 | 2022-01-18 | 杭州迪普科技股份有限公司 | 通信装置和方法 |
| CN112596874A (zh) * | 2020-12-16 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及电子设备 |
| CN112596874B (zh) * | 2020-12-16 | 2023-07-07 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及电子设备 |
| CN113420303A (zh) * | 2021-07-14 | 2021-09-21 | 广东电网有限责任公司广州供电局 | 基于端口扫描的变电站主机安全漏洞检测方法和系统 |
| CN113938404A (zh) * | 2021-10-12 | 2022-01-14 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备、系统及存储介质 |
| CN113938404B (zh) * | 2021-10-12 | 2023-04-07 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110380935B (zh) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380935A (zh) | 端口扫描方法与装置 | |
| US10404724B2 (en) | Detecting network traffic content | |
| US8693348B1 (en) | Systems and methods for content type classification | |
| US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
| US20070067841A1 (en) | Scalable monitor of malicious network traffic | |
| US20130242743A1 (en) | System, method, and computer program product for directing predetermined network traffic to a honeypot | |
| US20060288418A1 (en) | Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis | |
| WO2016190868A1 (en) | Processing network data using a graph data structure | |
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| CN109818970B (zh) | 一种数据处理方法及装置 | |
| JP2019502315A (ja) | 分散型サービス拒否攻撃を防御する方法、装置、クライアントおよびデバイス | |
| US11729189B1 (en) | Virtual security appliances for eliciting attacks | |
| RU2750627C2 (ru) | Способ поиска образцов вредоносных сообщений | |
| Singh et al. | A honeypot system for efficient capture and analysis of network attack traffic | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| Pluskal et al. | Netfox detective: A novel open-source network forensics analysis tool | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| Broadway et al. | Improving the analysis of lawfully intercepted network packet data captured for forensic analysis | |
| CN114157459A (zh) | 威胁情报自动生成方法、装置、计算机设备和存储介质 | |
| Rekhis et al. | Visibility: a novel concept for characterising provable network digital evidences | |
| CN109818834B (zh) | 一种轻量级的sdn流表规则探测工具及探测方法 | |
| Langthasa et al. | Classification of network traffic in LAN | |
| CN112640392A (zh) | 一种木马检测方法、装置和设备 | |
| CN109740355A (zh) | 漏洞扫描方法、服务器、系统及代理服务器 | |
| Bhuyan et al. | Practical tools for attackers and defenders |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |