CN113645225B - 一种网络安全设备探测方法、装置、设备及可读存储介质 - Google Patents
一种网络安全设备探测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113645225B CN113645225B CN202110909210.2A CN202110909210A CN113645225B CN 113645225 B CN113645225 B CN 113645225B CN 202110909210 A CN202110909210 A CN 202110909210A CN 113645225 B CN113645225 B CN 113645225B
- Authority
- CN
- China
- Prior art keywords
- syn
- message
- messages
- target drone
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种网络安全设备探测方法,该方法包括以下步骤:对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;分别向目标靶机的各端口发送SYN报文;接收目标靶机根据SYN报文返回的响应报文;对响应报文进行数目统计,得到响应报文数目统计结果;根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。应用本发明所提供的网络安全设备探测方法,实现了对目标靶机进行网络安全设备的准确识别,进而通过采取有效的应对策略绕过网络安全设备,进而实现了对靶机安全性的准确检测。本发明还公开了一种网络安全设备探测装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全设备探测方法、装置、设备及计算机可读存储介质。
背景技术
随着网络安全技术的发展,需要对网络服务器进行安全性检测。现阶段的扫描工具,如果中间存在网络防火墙、入侵防御系统(Intrusion Prevention System,IPS)等网络安全设备,或是靶机安装了端点检测与响应(Endpoint Detection and Response,EDR),均会导致扫描结果不准确,结果抖动,甚至多次扫描后被拉黑,导致无法再扫描到想扫的靶机,无法对靶机进行安全性检测。
综上所述,如何有效地解决当网络服务器安装了网络安全设备时,导致扫描结果不准确,结果抖动,无法对靶机进行安全性检测的问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种网络安全设备探测方法,该方法实现了对目标靶机进行网络安全设备的准确识别,实现了对靶机安全性的准确检测;本发明的另一目的是提供一种网络安全设备探测装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种网络安全设备探测方法,包括:
对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;
分别向所述目标靶机的各端口发送SYN报文;
接收所述目标靶机根据所述SYN报文返回的响应报文;
对所述响应报文进行数目统计,得到响应报文数目统计结果;
根据所述响应报文数目统计结果确定所述目标靶机对应的网络安全设备探测结果。
在本发明的一种具体实施方式中,接收所述目标靶机根据所述SYN报文返回的响应报文,包括:
接收所述目标靶机根据所述SYN报文返回的SYN+ACK报文和RST报文;
对所述响应报文进行数目统计,得到响应报文数目统计结果,包括:
分别对所述SYN+ACK报文和所述RST报文进行数目统计,得到SYN+ACK报文数和RST报文数;
根据所述响应报文数目统计结果确定所述目标靶机对应的网络安全设备探测结果,包括:
根据所述SYN+ACK报文数和所述RST报文数确定所述目标靶机对应的网络安全设备探测结果。
在本发明的一种具体实施方式中,根据所述SYN+ACK报文数和所述RST报文数确定所述目标靶机对应的网络安全设备探测结果,包括:
获取各所述端口的端口总数;
当所述SYN+ACK报文数和所述RST报文数均不为0时,对所述SYN+ACK报文数和所述RST报文数进行求和计算,得到报文总数;
对所述端口总数与所述报文总数进行差值计算,得到目标差值;
判断所述目标差值是否小于第一预设差值阈值;
若是,则计算所述SYN+ACK报文数占所述报文总数的目标比例;
判断所述目标比例是否大于预设比例值;
若是,则确定所述目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,确定所述目标靶机与探测端之间存在DDos设备,包括:
获取错误的checksum校验和的SYN报文;
向所述目标靶机发送所述错误的checksum校验和的SYN报文;
判断是否收到SYN+ACK报文回复;
若是,则确定所述目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,根据所述SYN+ACK报文数和所述RST报文数确定所述目标靶机对应的网络安全设备探测结果,包括:
判断所述RST报文数是否小于预设值;
若是,则计算所述SYN+ACK报文数和所述RST报文数之和,判断各所述端口的端口总数与计算得到的报文总数之间的差值是否大于第二预设差值阈值;
若是,则将向所述目标靶机发送所述SYN报文的发包速率提升至预设速率;
按照所述预设速率向所述目标靶机发送预设次数的所述SYN报文,以对所述目标靶机进行所述预设次数的扫描;
对各次扫描分别对应的SYN+ACK报文的返回数目进行统计,得到各扫描SYN+ACK报文数;
分别计算相邻两次扫描中前次扫描对应的扫描SYN+ACK报文数与后次扫描对应的扫描SYN+ACK报文数的SYN+ACK报文差值;
判断各所述SYN+ACK报文差值是否均小于第三预设差值阈值;
若是,则确定所述目标靶机存在网络防火墙;
若否,则确定所述目标靶机的链路存在会话数目限制。
在本发明的一种具体实施方式中,在按照所述预设速率向所述目标靶机发送预设次数的所述SYN报文之后,还包括:
对各次扫描分别对应的RST报文的返回数目进行统计,得到各扫描RST报文数;
分别计算相邻两次扫描中前次扫描对应的扫描RST报文数与后次扫描对应的扫描RST报文数的RST报文差值;
判断各所述RST报文差值是否均小于第四预设差值阈值;
若是,则确定所述目标靶机存在网络防火墙,包括:
确定所述目标靶机仅存在网络防火墙;
确定所述目标靶机的链路存在会话数目限制,包括:
确定所述目标靶机存在网络防火墙且所述目标靶机的链路存在会话数目限制;
若否,则确定所述目标靶机的链路存在会话数目限制,包括:
确定所述目标靶机仅为链路存在会话数目限制。
在本发明的一种具体实施方式中,在根据所述响应报文数目统计结果确定所述目标靶机对应的网络安全设备探测结果之后,还包括:
当确定存在网络安全设备时,根据所述网络安全设备对所述目标靶机进行打标签操作。
一种网络安全设备探测装置,包括:
请求解析模块,用于对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;
报文发送模块,用于分别向所述目标靶机的各端口发送SYN报文;
响应报文接收模块,用于接收所述目标靶机根据所述SYN报文返回的响应报文;
响应报文统计模块,用于对所述响应报文进行数目统计,得到响应报文数目统计结果;
探测结果获得模块,用于根据所述响应报文数目统计结果确定所述目标靶机对应的网络安全设备探测结果。
一种网络安全设备探测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述网络安全设备探测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述网络安全设备探测方法的步骤。
本发明所提供的网络安全设备探测方法,对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;分别向目标靶机的各端口发送SYN报文;接收目标靶机根据SYN报文返回的响应报文;对响应报文进行数目统计,得到响应报文数目统计结果;根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。通过向待探测的目标靶机发送SYN报文,对接收到的响应报文进行数目统计,根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。从而实现了对目标靶机进行网络安全设备的准确识别,进而通过采取有效的应对策略绕过网络安全设备,进而实现了对靶机安全性的准确检测。
相应的,本发明还提供了与上述网络安全设备探测方法相对应的网络安全设备探测装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中网络安全设备探测方法的一种实施流程图;
图2为本发明实施例中网络安全设备探测方法的另一种实施流程图;
图3为本发明实施例中网络安全设备探测方法的另一种实施流程图;
图4为本发明实施例中一种网络安全设备探测装置的结构框图;
图5为本发明实施例中一种网络安全设备探测设备的结构框图;
图6为本实施例提供的一种网络安全设备探测设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1为本发明实施例中网络安全设备探测方法的一种实施流程图,该方法可以包括以下步骤:
S101:对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机。
当需要进行网络安全设备探测时,请求端生成网络安全设备探测请求,网络安全设备探测请求中包含待探测的目标靶机,并向探测端发送网络安全设备探测请求。探测端接收网络安全设备探测请求,并对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机。
待探测的目标靶机可以为任意一个待进行网络安全设备探测的机器。
S102:分别向目标靶机的各端口发送SYN报文。
在解析得到待探测的目标靶机之后,分别向目标靶机的各端口发送SYN(Synchronize Sequence Numbers,同步序列编号)报文。
SYN报文在三次握手建立TCP(Transmission Control Protocol,传输控制协议)连接时有效,其提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端的初始序列编号。
目标靶机的各端口包括处于打开状态的端口和处于关闭状态的端口,大多数情况下处于打开状态的端口数目远远小于处于关闭状态的端口数目。
S103:接收目标靶机根据SYN报文返回的响应报文。
探测端在向目标靶机的各端口发送SYN报文之后,目标靶机会结合接收到的SYN报文和各端口的开闭状态生成响应报文,并向探测端返回响应报文。探测端接收目标靶机根据SYN报文返回的响应报文。
S104:对响应报文进行数目统计,得到响应报文数目统计结果。
由于目标靶机存在不同的网络安全设备的情况下,其生成的响应报文数目存在差异,因此,探测端在接收到目标靶机根据SYN报文返回的响应报文之后,对响应报文进行数目统计,得到响应报文数目统计结果。
S105:根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。
在统计得到响应报文数目统计结果之后,根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。即在得到响应报文数目统计结果之后,根据响应报文数目与网络安全设备之间的对应关系,确定目标靶机当前是否存在网络安全设备,并切当确定存在网络安全设备时,可以进一步确定网络安全设备的种类信息。通过向待探测的目标靶机发送SYN报文,对接收到的响应报文进行数目统计,根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。从而实现了对目标靶机进行网络安全设备的准确识别,进而通过采取有效的应对策略绕过网络安全设备,进而实现了对靶机安全性的准确检测。
本发明所提供的网络安全设备探测方法,对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;分别向目标靶机的各端口发送SYN报文;接收目标靶机根据SYN报文返回的响应报文;对响应报文进行数目统计,得到响应报文数目统计结果;根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。通过向待探测的目标靶机发送SYN报文,对接收到的响应报文进行数目统计,根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。从而实现了对目标靶机进行网络安全设备的准确识别,进而通过采取有效的应对策略绕过网络安全设备,进而实现了对靶机安全性的准确检测。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
参见图2,图2为本发明实施例中网络安全设备探测方法的另一种实施流程图,该方法可以包括以下步骤:
S201:对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机。
S202:分别向目标靶机的各端口发送SYN报文。
参见图3,图3为本发明实施例中网络安全设备探测方法的另一种实施流程图。可以向目标靶机的各端口发送1000个SYN报文。中间网络设备接收探测端发送的SYN报文,并将SYN报文转发至靶机。
S203:接收目标靶机根据SYN报文返回的SYN+ACK报文和RST报文。
探测端在向目标靶机的各端口发送SYN报文之后,目标靶机会结合接收到的SYN报文和各端口的开闭状态生成相应的SYN+ACK报文或RST报文,具体的,当端口处于打开状态时,目标靶机会生成SYN+ACK报文,当端口处于关闭状态时,目标靶机会生成RST报文。目标靶机在生成SYN+ACK报文和RST报文之后,向探测端发送生成的SYN+ACK报文和RST报文,探测端接收目标靶机根据SYN报文返回的SYN+ACK报文和RST报文。
SYN+ACK(Acknowledgement Number,报文确认编号)栏有效,大多数情况下该标志位是置位的,TCP报头内的确认编号栏内包含的确认编号为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
S204:分别对SYN+ACK报文和RST报文进行数目统计,得到SYN+ACK报文数和RST报文数。
探测端在接收到目标靶机根据SYN报文返回的SYN+ACK报文和RST报文之后,分别对SYN+ACK报文和RST报文进行数目统计,得到SYN+ACK报文数和RST报文数。
S205:根据SYN+ACK报文数和RST报文数确定目标靶机对应的网络安全设备探测结果。
由于目标靶机存在不同的网络安全设备的情况下,目标靶机在接收到SYN报文之后,其生成SYN+ACK报文和RST报文的数目存在差异。探测端在统计得到SYN+ACK报文数和RST报文数之后,根据SYN+ACK报文数和RST报文数确定目标靶机对应的网络安全设备探测结果。
在本发明的一种具体实施方式中,步骤S205可以包括以下步骤:
步骤一:获取各端口的端口总数;
步骤二:当SYN+ACK报文数和RST报文数均不为0时,对SYN+ACK报文数和RST报文数进行求和计算,得到报文总数;
步骤三:对端口总数与报文总数进行差值计算,得到目标差值;
步骤四:判断目标差值是否小于第一预设差值阈值,若否,则执行步骤五,若是,则执行步骤六;
步骤五:确定目标靶机与探测端之间不存在DDos设备;
步骤六:计算SYN+ACK报文数占报文总数的目标比例;
步骤七:判断目标比例是否大于预设比例值,若否,则执行步骤五,若是,则执行步骤八;
步骤八:确定目标靶机与探测端之间存在DDos设备。
为方便描述,可以将上述几个步骤结合起来进行说明。
获取向目标靶机SYN报文的端口总数,探测端在统计得到SYN+ACK报文数和RST报文数之后,当SYN+ACK报文数和RST报文数均不为0时,对SYN+ACK报文数和RST报文数进行求和计算,得到报文总数,对端口总数与报文总数进行差值计算,得到目标差值。预先设置通过端口总数与报文总数之间的差值的第一差值阈值,判断目标差值是否小于第一预设差值阈值,若否,则说明各端口中未返回SYN+ACK报文或RST报文的数量较多,确定目标靶机与探测端之间不存在DDos设备,若是,则说明各端口中大多数端口均返回了SYN+ACK报文或RST报文。
需要说明的是,预设比例值可以根据实际情况进行设定和调整,本发明实施例对此不做限定。
参见图3,由于当探测端与靶机之间存在DDos设备时,探测端向靶机发送n个报文之后,会触发其IPS(Intrusion Prevention System,入侵防御系统)/firewall(防火墙)规则,中间网络设备对于后续接收到的SYN报文会直接回复SYN+ACK报文。预先设置用于判断靶机与探测端之间是否存在DDos设备的SYN+ACK报文数占报文总数的目标比例。在确定目标差值小于第一预设差值阈值之后,判断目标比例是否大于预设比例值,若否,则说明不符合靶机与探测端之间存在DDos设备时的报文响应情况,确定目标靶机与探测端之间不存在DDos设备,若是,则确定目标靶机与探测端之间存在DDos设备。如当探测端口接收到n个RST报文与m个SYN+ACK报文,m+n≈1000,m>900,则说明很大可能是目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,确定目标靶机与探测端之间存在DDos设备,可以包括以下步骤:
步骤一:获取错误的checksum校验和的SYN报文;
步骤二:向目标靶机发送错误的checksum校验和的SYN报文;
步骤三:判断是否收到SYN+ACK报文回复,若否,则执行步骤四,若是,则执行步骤五;
步骤四:确定目标靶机与探测端之间不存在DDos设备。
步骤五:确定目标靶机与探测端之间存在DDos设备。
为方便描述,可以将上述几个步骤结合起来进行说明。
预先根据TCP报文头第16-18字节为CheckSum(校验和)。通过创建原始套接字(Rawsocket),对于其消息头的16-18字节计算的Checksum值来进行-N(值为任意)处理,生成错误的checksum校验和的SYN报文。
基于对于正常的机器会直接丢弃checksum错误的报文,当确定SYN+ACK报文数占报文总数的目标比例大于预设比例值时,为进一步确定目标靶机与探测端之间是否存在DDos设备,获取错误的checksum校验和的SYN报文,向目标靶机发送错误的checksum校验和的SYN报文,判断是否收到SYN+ACK报文回复,若否,则确定目标靶机与探测端之间不存在DDos设备,若是,则确定目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,步骤S205可以包括以下步骤:
步骤一:判断RST报文数是否小于预设值,若否,则执行步骤二,若是,则执行步骤三;
步骤二:确定目标靶机不存在网络防火墙;
步骤三:计算SYN+ACK报文数和RST报文数之和,判断各端口的端口总数与计算得到的报文总数之间的差值是否大于第二预设差值阈值,若否,则执行步骤二,若是,则执行步骤四;
步骤四:将向目标靶机发送SYN报文的发包速率提升至预设速率;
步骤五:按照预设速率向目标靶机发送预设次数的SYN报文,以对目标靶机进行预设次数的扫描;
步骤六:对各次扫描分别对应的SYN+ACK报文的返回数目进行统计,得到各扫描SYN+ACK报文数;
步骤七:分别计算相邻两次扫描中前次扫描对应的扫描SYN+ACK报文数与后次扫描对应的扫描SYN+ACK报文数的SYN+ACK报文差值;
步骤八:判断各SYN+ACK报文差值是否均小于第三预设差值阈值,若是,则执行步骤九,若否,则执行步骤十;
步骤九:确定目标靶机存在网络防火墙;
步骤十:确定目标靶机的链路存在会话数目限制。
为方便描述,可以将上述几个步骤结合起来进行说明。
预先设置接收到的返回RST报文的报文数阈值,探测端在统计得到SYN+ACK报文数和RST报文数之后,判断RST报文数是否小于预设值,若否,则说明未对靶机返回的RST报文进行拦截,确定目标靶机不存在网络防火墙,若是,则说明对靶机返回的RST报文进行了拦截,计算SYN+ACK报文数和RST报文数之和,判断各端口的端口总数与计算得到的报文总数之间的差值是否大于第二预设差值阈值,若否,则未对靶机返回的RST报文进行拦截,确定目标靶机不存在网络防火墙,若是,则将向目标靶机发送SYN报文的发包速率提升至预设速率,按照预设速率向目标靶机发送预设次数的SYN报文,从而实现对目标靶机进行预设次数的扫描,对各次扫描分别对应的SYN+ACK报文的返回数目进行统计,得到各扫描SYN+ACK报文数。分别计算相邻两次扫描中前次扫描对应的扫描SYN+ACK报文数与后次扫描对应的扫描SYN+ACK报文数的SYN+ACK报文差值,判断各SYN+ACK报文差值是否均小于第三预设差值阈值,若是,则说明SYN+ACK报文的波动不大,确定目标靶机存在网络防火墙,若否,则说明SYN+ACK报文的波动较大,确定目标靶机的链路存在会话数目限制。
需要说明的是,预设速率可以根据实际情况进行设定和调整,本发明实施例对此不做限定。
在本发明的一种具体实施方式中,在按照预设速率向目标靶机发送预设次数的SYN报文之后,该方法还可以包括以下步骤:
步骤一:对各次扫描分别对应的RST报文的返回数目进行统计,得到各扫描RST报文数;
步骤二:分别计算相邻两次扫描中前次扫描对应的扫描RST报文数与后次扫描对应的扫描RST报文数的RST报文差值;
步骤三:判断各RST报文差值是否均小于第四预设差值阈值,若是,则执行步骤四,若否,则执行步骤五。
步骤四:确定目标靶机存在网络防火墙,包括以下步骤:
确定目标靶机仅存在网络防火墙;
确定目标靶机的链路存在会话数目限制,包括以下步骤:
确定目标靶机存在网络防火墙且目标靶机的链路存在会话数目限制;
步骤五:确定目标靶机的链路存在会话数目限制,包括以下步骤:
确定目标靶机仅为链路存在会话数目限制。
为方便描述,可以将上述几个步骤结合起来进行说明。
在按照预设速率向目标靶机发送预设次数的SYN报文之后,还对各次扫描分别对应的RST报文的返回数目进行统计,得到各扫描RST报文数,分别计算相邻两次扫描中前次扫描对应的扫描RST报文数与后次扫描对应的扫描RST报文数的RST报文差值,判断各RST报文差值是否均小于第四预设差值阈值,若是,则说明RST报文的波动不大,当各SYN+ACK报文差值均小于第三预设差值阈值时,即当SYN+ACK报文的波动不大时,确定目标靶机仅存在网络防火墙,当各SYN+ACK报文差值中存在大于等于第三预设差值阈值的SYN+ACK报文差值时,即当SYN+ACK报文的波动较大时,确定目标靶机存在网络防火墙且目标靶机的链路存在会话数目限制,若否,则说明RST报文的波动较大,确定目标靶机仅为链路存在会话数目限制。
参见图3,当确定探测端口收到的n个RST报文与m个SYN+ACK报文,m+n<<1000,且未收到返回的端口数>800,则向靶机再次发送多次RST报文,并将发送速率提高至500packet/s,若出现回复ACK+SYN报文的端口数目仅抖动1-2个,其余过滤filtered个数几乎不变,则判断目标仅存在防火墙隔离。若出现回复ACK+SYN报文的端口数目抖动极大,或是出现过扫描后1000个端口均为filtered,则判定目标主机的链路存在会话数目限制或是靶机存在EDR,且存在防火墙。若出现收到RST报文的数目的端口抖动极大,或是出现过扫描后1000个端口均为filtered,则判断目标主机的链路存在会话数目限制。
需要说明的是,第一预设差值阈值、第二预设差值阈值、第三预设差值阈值、第四预设差值阈值均可以根据实际情况进行设定和调整,本发明实施例对此不做限定。
S206:当确定存在网络安全设备时,根据网络安全设备对目标靶机进行打标签操作。
当确定目标靶机中存在网络安全设备时,根据网络安全设备对目标靶机进行打标签操作。通过对目标靶机进行打标签操作,可以通过探测中识别到目标靶机是否存在网络安全设备。当检测到存在网络安全设备时,略过探测或是通过一定策略进行绕过网络安全设备,从而获取到对目标靶机的准确检测结果。
相应于上面的方法实施例,本发明还提供了一种网络安全设备探测装置,下文描述的网络安全设备探测装置与上文描述的网络安全设备探测方法可相互对应参照。
参见图4,图4为本发明实施例中一种网络安全设备探测装置的结构框图,该装置可以包括:
请求解析模块41,用于对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;
报文发送模块42,用于分别向目标靶机的各端口发送SYN报文;
响应报文接收模块43,用于接收目标靶机根据SYN报文返回的响应报文;
响应报文统计模块44,用于对响应报文进行数目统计,得到响应报文数目统计结果;
探测结果获得模块45,用于根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。
本发明所提供的网络安全设备探测装置,对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;分别向目标靶机的各端口发送SYN报文;接收目标靶机根据SYN报文返回的响应报文;对响应报文进行数目统计,得到响应报文数目统计结果;根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。通过向待探测的目标靶机发送SYN报文,对接收到的响应报文进行数目统计,根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。从而实现了对目标靶机进行网络安全设备的准确识别,进而通过采取有效的应对策略绕过网络安全设备,进而实现了对靶机安全性的准确检测。
在本发明的一种具体实施方式中,响应报文接收模块43具体为接收目标靶机根据SYN报文返回的SYN+ACK报文和RST报文的模块;
响应报文统计模块44具体为分别对SYN+ACK报文和RST报文进行数目统计,得到SYN+ACK报文数和RST报文数的模块;
探测结果获得模块45具体为根据SYN+ACK报文数和RST报文数确定目标靶机对应的网络安全设备探测结果的模块。
在本发明的一种具体实施方式中,探测结果获得模块45包括:
端口数获取子模块,用于获取各端口的端口总数;
报文总数计算子模块,用于当SYN+ACK报文数和RST报文数均不为0时,对SYN+ACK报文数和RST报文数进行求和计算,得到报文总数;
第一报文数差值计算子模块,用于对端口总数与报文总数进行差值计算,得到目标差值;
第一判断子模块,用于判断目标差值是否小于第一预设差值阈值;
比例计算子模块,用于当确定目标差值小于第一预设差值阈值时,计算SYN+ACK报文数占报文总数的目标比例;
第二判断子模块,用于判断目标比例是否大于预设比例值;
第一网络安全设备确定子模块,用于当确定目标比例大于预设比例值时,确定目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,网络安全设备确定子模块包括:
错误校验和报文获取单元,用于获取错误的checksum校验和的SYN报文;
错误校验和报文发送单元,用于向目标靶机发送错误的checksum校验和的SYN报文;
判断单元,用于判断是否收到SYN+ACK报文回复;
网络安全设备确定单元,用于当确定收到SYN+ACK报文回复时,确定目标靶机与探测端之间存在DDos设备。
在本发明的一种具体实施方式中,探测结果获得模块45包括:
第三判断子模块,用于判断RST报文数是否小于预设值;
第四判断子模块,用于当确定RST报文数小于预设值时,计算SYN+ACK报文数和RST报文数之和,判断各端口的端口总数与计算得到的报文总数之间的差值是否大于第二预设差值阈值;
发包速率提升子模块,用于当确定各端口的端口总数与计算得到的报文总数之间的差值大于第二预设差值阈值时,将向目标靶机发送SYN报文的发包速率提升至预设速率;
靶机扫描子模块,用于按照预设速率向目标靶机发送预设次数的SYN报文,以对目标靶机进行预设次数的扫描;
第二报文数差值计算子模块,用于分别计算相邻两次扫描中前次扫描对应的扫描SYN+ACK报文数与后次扫描对应的扫描SYN+ACK报文数的SYN+ACK报文差值;
第五判断子模块,用于判断各SYN+ACK报文差值是否均小于第三预设差值阈值;
第二网络安全设备确定子模块,用于当确定各SYN+ACK报文差值均小于第三预设差值阈值时,确定目标靶机存在网络防火墙;
第三网络安全设备确定子模块,用于当确定各SYN+ACK报文差值中存在大于等于第三预设差值阈值的SYN+ACK报文差值时,确定目标靶机的链路存在会话数目限制。
在本发明的一种具体实施方式中,该装置还可以包括:
报文返回数统计模块,用于在按照预设速率向目标靶机发送预设次数的SYN报文之后,对各次扫描分别对应的RST报文的返回数目进行统计,得到各扫描RST报文数;
报文数差值计算模块,用于分别计算相邻两次扫描中前次扫描对应的扫描RST报文数与后次扫描对应的扫描RST报文数的RST报文差值;
判断模块,用于判断各RST报文差值是否均小于第四预设差值阈值;
第二网络安全设备确定子模块具体为当确定各RST报文差值均小于第四预设差值阈值时,确定目标靶机仅存在网络防火墙的模块;
第三网络安全设备确定子模块具体为当确定各RST报文差值均小于第四预设差值阈值时,确定目标靶机存在网络防火墙且目标靶机的链路存在会话数目限制;当确定各RST报文差值中存在大于等于第四预设差值阈值的RST报文差值时,确定目标靶机仅为链路存在会话数目限制。
在本发明的一种具体实施方式中,该装置还可以包括:
标签设置模块,用于在根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果之后,当确定存在网络安全设备时,根据网络安全设备对目标靶机进行打标签操作。
相应于上面的方法实施例,参见图5,图5为本发明所提供的网络安全设备探测设备的示意图,该设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的网络安全设备探测方法的步骤。
具体的,请参考图6,图6为本实施例提供的一种网络安全设备探测设备的具体结构示意图,该网络安全设备探测设备可因配置或性能不同而产生比较大的差异,可以包括处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储器332通信,在网络安全设备探测设备301上执行存储器332中的一系列指令操作。
网络安全设备探测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的网络安全设备探测方法中的步骤可以由网络安全设备探测设备的结构实现。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;分别向目标靶机的各端口发送SYN报文;接收目标靶机根据SYN报文返回的响应报文;对响应报文进行数目统计,得到响应报文数目统计结果;根据响应报文数目统计结果确定目标靶机对应的网络安全设备探测结果。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (8)
1.一种网络安全设备探测方法,其特征在于,包括:
对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;
分别向所述目标靶机的各端口发送SYN报文;
接收所述目标靶机根据所述SYN报文返回的SYN+ACK报文和RST报文;
分别对所述SYN+ACK报文和所述RST报文进行数目统计,得到SYN+ACK报文数和RST报文数;
获取各所述端口的端口总数;
当所述SYN+ACK报文数和所述RST报文数均不为0时,对所述SYN+ACK报文数和所述RST报文数进行求和计算,得到报文总数;
对所述端口总数与所述报文总数进行差值计算,得到目标差值;
判断所述目标差值是否小于第一预设差值阈值;
若是,则计算所述SYN+ACK报文数占所述报文总数的目标比例;
判断所述目标比例是否大于预设比例值;
若是,则确定所述目标靶机与探测端之间存在DDos设备。
2.根据权利要求1所述的网络安全设备探测方法,其特征在于,确定所述目标靶机与探测端之间存在DDos设备,包括:
获取错误的checksum校验和的SYN报文;
向所述目标靶机发送所述错误的checksum校验和的SYN报文;
判断是否收到SYN+ACK报文回复;
若是,则确定所述目标靶机与探测端之间存在DDos设备。
3.根据权利要求1所述的网络安全设备探测方法,其特征在于,根据所述SYN+ACK报文数和所述RST报文数确定所述目标靶机对应的网络安全设备探测结果,包括:
判断所述RST报文数是否小于预设值;
若是,则计算所述SYN+ACK报文数和所述RST报文数之和,判断各所述端口的端口总数与计算得到的报文总数之间的差值是否大于第二预设差值阈值;
若是,则将向所述目标靶机发送所述SYN报文的发包速率提升至预设速率;
按照所述预设速率向所述目标靶机发送预设次数的所述SYN报文,以对所述目标靶机进行所述预设次数的扫描;
对各次扫描分别对应的SYN+ACK报文的返回数目进行统计,得到各扫描SYN+ACK报文数;
分别计算相邻两次扫描中前次扫描对应的扫描SYN+ACK报文数与后次扫描对应的扫描SYN+ACK报文数的SYN+ACK报文差值;
判断各所述SYN+ACK报文差值是否均小于第三预设差值阈值;
若是,则确定所述目标靶机存在网络防火墙;
若否,则确定所述目标靶机的链路存在会话数目限制。
4.根据权利要求3所述的网络安全设备探测方法,其特征在于,在按照所述预设速率向所述目标靶机发送预设次数的所述SYN报文之后,还包括:
对各次扫描分别对应的RST报文的返回数目进行统计,得到各扫描RST报文数;
分别计算相邻两次扫描中前次扫描对应的扫描RST报文数与后次扫描对应的扫描RST报文数的RST报文差值;
判断各所述RST报文差值是否均小于第四预设差值阈值;
若是,则确定所述目标靶机存在网络防火墙,包括:
确定所述目标靶机仅存在网络防火墙;
确定所述目标靶机的链路存在会话数目限制,包括:
确定所述目标靶机存在网络防火墙且所述目标靶机的链路存在会话数目限制;
若否,则确定所述目标靶机的链路存在会话数目限制,包括:
确定所述目标靶机仅为链路存在会话数目限制。
5.根据权利要求1至4任一项所述的网络安全设备探测方法,其特征在于,还包括:
当确定存在网络安全设备时,根据所述网络安全设备对所述目标靶机进行打标签操作。
6.一种网络安全设备探测装置,其特征在于,包括:
请求解析模块,用于对接收到的网络安全设备探测请求进行解析,得到待探测的目标靶机;
报文发送模块,用于分别向所述目标靶机的各端口发送SYN报文;
响应报文接收模块,用于接收所述目标靶机根据所述SYN报文返回的SYN+ACK报文和RST报文;
响应报文统计模块,用于分别对所述SYN+ACK报文和所述RST报文进行数目统计,得到SYN+ACK报文数和RST报文数;
探测结果获得模块,所述探测结果获得模块包括:
端口数获取子模块,用于获取各所述端口的端口总数;
报文总数计算子模块,用于当所述SYN+ACK报文数和所述RST报文数均不为0时,对所述SYN+ACK报文数和所述RST报文数进行求和计算,得到报文总数;
第一报文数差值计算子模块,用于对所述端口总数与所述报文总数进行差值计算,得到目标差值;
第一判断子模块,用于判断所述目标差值是否小于第一预设差值阈值;
比例计算子模块,用于当确定所述目标差值小于所述第一预设差值阈值时,计算所述SYN+ACK报文数占所述报文总数的目标比例;
第二判断子模块,用于判断所述目标比例是否大于预设比例值;
第一网络安全设备确定子模块,用于当确定所述目标比例大于所述预设比例值时,确定所述目标靶机与探测端之间存在DDos设备。
7.一种网络安全设备探测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述网络安全设备探测方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述网络安全设备探测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110909210.2A CN113645225B (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全设备探测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110909210.2A CN113645225B (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全设备探测方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645225A CN113645225A (zh) | 2021-11-12 |
| CN113645225B true CN113645225B (zh) | 2023-05-16 |
Family
ID=78420348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110909210.2A Active CN113645225B (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全设备探测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645225B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338491A (zh) * | 2021-12-31 | 2022-04-12 | 北京华云安信息技术有限公司 | 基于Raw Socket的端口探测方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751862A (zh) * | 2020-12-30 | 2021-05-04 | 杭州迪普科技股份有限公司 | 一种端口扫描攻击检测方法、装置及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101877654B (zh) * | 2009-04-28 | 2012-04-04 | 黑龙江大学 | 一种基于tcp报文的ip路径主动测量方法 |
| CN104348811B (zh) * | 2013-08-05 | 2018-01-26 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| EP3319287A1 (en) * | 2016-11-04 | 2018-05-09 | Nagravision SA | Port scanning |
-
2021
- 2021-08-09 CN CN202110909210.2A patent/CN113645225B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751862A (zh) * | 2020-12-30 | 2021-05-04 | 杭州迪普科技股份有限公司 | 一种端口扫描攻击检测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645225A (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| EP3338396B1 (en) | Device and method for establishing connection in load-balancing system | |
| US7440406B2 (en) | Apparatus for displaying network status | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN106330483B (zh) | 信息获取方法、客户端设备和服务端设备 | |
| CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
| CN113645225B (zh) | 一种网络安全设备探测方法、装置、设备及可读存储介质 | |
| CN113938404B (zh) | 一种资产探测方法、装置、设备、系统及存储介质 | |
| CN115442259A (zh) | 系统识别方法及装置 | |
| CN114070800B (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN108306865B (zh) | 基于Netty框架的modbus粘包处理方法、装置 | |
| US8086908B2 (en) | Apparatus and a method for reporting the error of each level of the tunnel data packet in a communication network | |
| CN114172796B (zh) | 通信网络的故障定位方法及相关装置 | |
| CN113259490B (zh) | 基于udp传输协议的多级节点网络数据传输方法 | |
| CN113765722B (zh) | 一种可配置的多协议报文处理方法、装置及电子设备 | |
| CN110493081B (zh) | 游戏客户端的网络流量确定方法、装置、设备及存储介质 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN113890858A (zh) | Pmtu的探测方法及装置 | |
| CN115426245B (zh) | 云平台网络故障自动检测方法、设备及计算机可读介质 | |
| Wu | The Network Protocol Analysis Technique in Snort | |
| CN117395162B (zh) | 利用加密流量识别操作系统的方法、系统、设备及介质 | |
| CN117395080B (zh) | 加密系统扫描器的检测方法、装置、电子设备和存储介质 | |
| CN114785603B (zh) | 基于mqtt协议的安全防护方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |