TW200849926A

TW200849926A - Method and apparatus for detecting port scans with fake source address

Info

Publication number: TW200849926A
Application number: TW097114331A
Authority: TW
Inventors: Shawn Patrick Mullen; Johnny Meng-Han Shieh; Gerald Francis Mcbrearty; Susann Marie Keohane; Jessica Carol Murillo
Original assignee: Ibm
Priority date: 2007-04-23
Filing date: 2008-04-18
Publication date: 2008-12-16
Also published as: JP4517042B1; EP2140656B1; JP2010527527A; KR20090115198A; BRPI0809841A2; MX2009011403A; IL201726A0; BRPI0809841B1; CN101669347A; US7962957B2; CA2672528C; KR101054705B1; WO2008128941A1; DE602008003560D1; TWI436631B; US20080263666A1; EP2140656A1; CA2672528A1; CN101669347B; IL201726A

Description

200849926 九、發明說明：【表明所屬之技術領域】本發明大體而言係關於-種資料處理系統，且特定言之，=於-種針對資料處理系統安全性之方法及裝置。更，疋。之，本發明係關於一種用於使用偽來源網際網路協定位址來阻斷埠掃描哭抑之電細實鉍方法、裝置及電腦可用程式碼。【先前技術】藉由連接至在盥膚、用多+ Λ 矛式或服矛力相關聯之伺服器上的埠:連接至網路的計算器件（諸如，用戶端）上之使用者可執订在不同計算器件（諸如，祠服器）上可利用之應用程式或其他服務。埠為網路中之用戶端與飼服器之間的邏輯連接之端點。槔通常由谭號來識別。飼服器上可利用之每一應用程式與不同埠號相關聯。換言之，槔如同電腦上之特定應用程式之門或閉道哭。如同門，埠可開放或關閉。伺服.器上的開放之璋為與由°_ 或多個用戶端電腦使用之在飼服器上t前可利用式相關聯料。關閉之埠為不與在伺服器上可利用:王程式或服務相關聯之埠。骇客通常不可經由 _ 取電腦。早术存計算器件可藉由指定與特定應用程式相關聯取祠服器上之特定應靠式n有時未授 = 使用者出於對伺服器發動攻擊之目的可能想要存取上之應用程式或服務。此等使用者通常被稱 130319.doc 200849926 竊賊。由駭客攻塾夕θ 1 文擎之〜1服益可被稱作預定犧牲者。可=:=知曉在預定犧牲者上何應用程式或服務係口此，駭客可執行埠掃描。埠掃描為用於系掃描電腦之槔以判定哪料為與可利用之應用程式或服於相關制開放之埠及哪些埠為關閉之蟑的方法。在蟑“ 中，發运請求與每一熟知埠之犧牲者接收之❹指干t“串息。自預定之口知埠為開放之埠還是關閉之存取點^田由骇各用以定位可能易受攻擊之電腦的開放之 -旦定位出易受攻擊的開放之琿，骇客可發動攻擊，旦與受攻擊的開放之埠相關聯的應用程式之資源對應用知式之預定使用者而言不可利用。此類型之攻擊有時被稱作阻斷服務（D0S)攻擊。此問題之一解決方案係由槔掃描保護軟體提供。當前埠掃描保護軟體識別可為蟑掃描之部分的連接請求中之來源網際網路協定（IP)位址。埠掃描保護軟體接著阻斷此來源

4 it換5之’蟑知描軟體並不允許接收來自此來源IP 位址之任何額外訊息。此情形可防止由骇客使用同一來源 IP位址進行的後續攻擊。然:，駭客已藉由在琿掃描期間使用偽來源則立址來規避當前埠掃描保護軟體以定位開放之4。當璋掃描軟體認識到埠掃描可能正發生時’痒掃描保護軟體阻斷在埠掃描訊息中識別之偽1P位址。然而，當前埠掃描保護軟體並不阻斷駭客之實際1?位址。因此，骇客仍然自由地使用骇客 130319.doc 200849926 之實際IP位址對任何開放之埠發動攻擊，該實際位址並不受到埠掃描保護軟體之阻斷。此等攻擊可對試圖獲得對由預定犧牲者提供之應用程式及/或服務之合法存取的使用者導致阻斷服務（DOS)效應。此外，此等攻擊可在應用程式及/或服務不可利用時導致時間、資料及收益之損失。 ' 【發明内容】

說明性實施例提供一種用於埠掃描保護之電腦實施方去衣置及電月自可用程式碼。在一實施例中，回應於偵測到埠柃柄，過程產生一具有一用於一用以傳輸資料封包之協定的經修改之標頭之答覆資料封包以形成-經修改之答覆資料封包。在-實施例中，制於—用以傳輸資料封匕之協定的絰修改之標頭為一經修改之傳輸控制協定標頭0 /、工铋改之答覆貝料封包將引發一來自該經修改之資料封包之-接收者之回應^該過程將該答覆資料封包發送至 —與該埠掃描相關聯之第一選路位址。回n接㈣對該經修改之答覆資料封包之-回應，該 :程識別回應資料封包之—標頭中之—第二選路位址。該第二選路位址為該琿掃描千评畑之一來源的一實際選路位址。來自該第二選路位M夕斤有網路訊務可接著受到阻斷以防止對任何開放之埠的一，殽、^ 文擊。在一實施例中，該第一選路位址為一第一網際網路協疋位址，且該第二選路位址為一第二網際網路協定位址。 130319.doc 200849926 該用於該用以傳輸資料封包之協定的該經修改之桿頭可，括：不正確的序號。不正確的序號為一在序號之一可接文之範圍外的序號或一引發一史 7i ^ 木自该答覆貧料封包之該接收者之回應的Μ。在另—實施例中，該經修改之標頭可包括一重設旗標或一結束旗標。在另一實施例中，藉由更改-用以產生該經修改之答覆資科封包之總和檢查碼來產生該經修改之標頭。【實施方式】本表月之新頭特徵之信賴特性闌述於隨附中請專利範圍中。然而’當結合附圖閱讀時，藉由參考說明性實施例之以:詳細描述，將最佳地理解本發明自身、以及其較佳使用模式、其他目標及優勢。 >現參看該等圖’且特定言之，參看圖1至圖2,提供可實施說明性實施例之資料處理環境之例示性圖。應瞭解，圖 1至圖2僅為例示性的且並不意欲確^或暗示關於可實施不同實施例之環境之任何限制。可進行對所輯之實施例之許多修改。現參看該等圖，圖丨描繪可實施說明性實施例之資料處理系統之網路的圖示表示。網路資料處理系統⑽為可實施實施例之電腦之網路。網路資料處理系統ι〇〇含有網路 102，其為用以提供在網路資料處理系統1〇〇内連接在一起的各種器件與電腦之間的通信鏈路之媒體。網路ι〇2可包括諸如導線、無線通信鏈路或光纖電纜線之連接。在所描繪之實例中，伺服器1〇4及伺服器1〇6與儲存單元 130319.doc 200849926 i〇8 —起連接至網路102。此外，用戶端11〇、ιΐ2及ιΐ4連接至網路102。舉例而言，此等用戶端11〇、ιΐ2及η#可為個人電腦或網路電腦。在所描繪之實例中，饲服器ι〇4將諸如啟動槽案、作業系統影像及應用程式之資料提供至用戶端110、112及114。在此實例中，用戶端11〇、112及為飼服器刚之用戶端。網路資料處理系統⑽可包括未圖示之額外伺服器、用戶端及其他器件。藉由連接至祠服H 106上與所要應用程式或服務相關聯的阜諸如用戶鈿110之計算器件可執行在網路丨〇2上可利用之不同計算器件（諸如’伺服器1()6)上可利用之應用程式或其他服務。應用程式為使用計算器件之資源來為使用者執行任務或服務之電腦軟體。埠為網路102中之用户端11〇與伺服器1〇6之間的邏輯連接之端點。埠通常由埠號來加以識別。埠號範圍為〇至 65,536。埠號由網際網路賦值主管當指派。網際網路賦值主管當局由網際網路名稱與號碼指派機構 (ICANN)運營。伺服器1〇4或106上可利用之每一應用程式與不同璋號相關聯。一些埠號係基於與給定埠相關聯之應用程式或服務的類型來預指派。此等預指派或標準埠號被稱作熟知蜂。存在保留或預指派給特定服務或應用程式之約丨，〇24個熟夫埠號。舉例而言，熟知琿?虎包括（但不限於）用於超文字傳运協定（HTTP)訊務之琿80、用於Telnet之埠u、用於簡單郵件傳送協定（SMTP)之琿25、用於網域名稱祠服器 130319.doc 200849926 (DNS)之埠53及用於網際網路中繼聊天（irc)之埠〗94。因此，任一伺服器上被指定用於超文字傳送協定訊務之任一埠將通常具有所指派之埠號8〇。藉由發送指定與特定應用程式相關聯之埠號的連接請求，用戶端110可存取伺服器104或1〇6上之特定應用程式。在所描繪之實例中，網路資料處理系統100為網際網路，其中網路102表示在世界範圍内之網路及閘道器集合，該等網路及閘道器使用傳輸控制協定/網際網路二= (TCP/IP)協疋套件以相互通信。網際網路之中心處為在主要節點或主機電腦之間的由投送（福㈣料及訊息之成千上萬的商用、政府、教育及其他電腦系統組成之高速資料通信線路的骨幹。當然，亦可將網路資料處理系統⑽實施為許多不同類型之網路，諸如，企業内部網路、區域網路（LAN)或廣域網路（WAN)。W1意欲作為實例，而非作為不同實施例之架構限制。現參看圖2，其展示可實施說明性實施例之資料處理系統之方塊圖。資料處理系統·為可針對說明性實施例而定位實施過程之電腦可用程式碼或指令之電腦(諸如，在圖1中之伺服器106或用戶端11〇)的實例。在所描繪之實例中，資料處理系統則使用―集線" 構，其包括-北橋及記憶體控制器集線器(mch)2〇2及一南橋及輸入/輸出（I/O)控制器集線器（ICH)2〇4。處理單元 206、主記憶體208及圖形處理器21〇耦接至北橋及記憶體 130319.doc 11 200849926 控制為集線裔202。處理單元206可含有—或多個處理器且甚至可使用一或多個異質處理器系統來實施。舉例而言，圖形處理器210可經由加速圖形埠（AGP)而轉接sMCH。在所描繪之實例中’區域網路（LAN)配接器212耦接至南橋及I/O控制器集線器204，且音訊配接器216、鍵盤及滑鼠配接器220、數據機222、唯讀記憶體（ROM)224、通用串列匯流排（USB)埠及其他通信埠232以及PCI/PCIe器件 234經由匯流排238而耦接至南橋及I/O控制器集線器204，且硬碟機（HDD)226及CD-ROM光碟機230經由匯流排240耦接至南橋及I/O控制器集線器204。舉例而言，PCI/PCIe器件可包括乙太網路配接器、插卡（add-in card)及用於筆記型電腦之PC卡。PCI使用卡匯流排控制器，而PCIe不使用卡匯流排控制器。舉例而言，ROM 224可為快閃二進位輸入/輸出系統（BIOS)。舉例而言，硬碟機226及CD-ROM光碟機230可使用整合式驅動電子器件（IDE)或串列進階技術附件（SATA)介面。超I/〇(SIO)器件236可耦接至南橋及I/O 控制器集線器204。作業系統在處理單元206上執行且協調並提供在圖2中之資料處理系統200内的各種組件之控制。該作業系統可為市售之作業系統，諸如，Microsoft⑧Windows⑧XP (Microsoft 及Windows為Microsoft Corporation在美國、其他國家或兩者中的商標）。物件導向式程式設計系統（諸如，JavaTM程式設計系統）可結合該作業系統而執行’且自在資料處理系統200上執行之Java程式或應用程式提供對作業系統之 130319.doc -12- 200849926 呼叫。Java及所有含Javai 商標為 Sun Micr〇systems，he 在美國、其他國家或兩者中的商標。用於作業线、物件導向式程式設計系統及應用程式或程式之指令位於諸如硬碟機226之儲存器件上，且可被载入至主記憶體208内用於由處理單元2〇6執行。該等說明性實施例之過程可由處理單元2〇6使用電腦實施指令來執行，該等電腦實施指令可位於諸如主記憶體2〇8、唯讀記 fe體2 2 4之§己憶體中或一或多個周邊器件中。圖1至圖2中之硬體可取決於實施而變化。除了圖1至圖2 中所描繪之硬體之外或代替圖〗至圖2中所描繪之硬體，可使用其他内部硬體或周邊器件，諸如，快閃記憶體、等效非揮發性記憶體或光碟機及其類似物。同樣，該等說明性實施例之過程可適用於多處理器資料作業系統。在一些說明性實例中，資料處理系統2〇〇可為個人數位助理（PDA)，其通常組態有快閃記憶體以提供用於儲存作業系統檔案及/或使用者產生之資料的非揮發性記憶體。匯流排系統可包含一或多個匯流排，諸如，系統匯流排、 I/O匯流排及PCI匯流排。當然，可使用任一類型之通信構造或架構來實施匯流排系統，該任一類型之通信構造或架構提供資料在附著至該構造或架構之不同組件或器件之間的傳送。通信單元可包括用以傳輸及接收資料之一或多個器件，諸如，數據機或網路配接器。舉例而言，記憶體可為主記憶體208或諸如在北橋及記憶體控制器集線器2〇2中發現之快取記憶體的快取記憶體。處理單元可包括一或多 130319.doc -13· 200849926 個處理器或CPU。圖1至圖2中的所描繪之實例及上述實例並不意謂暗示架構限制。舉例而言，除了採用PDA形式之外資料處理糸統200亦可為平板電腦（tablet computer)、膝上型電腦或電話器件。

傳輸控制協定/網際網路協定（Tcp/Ip)為用以連接網路 (諸如，圖丨中之網路1〇2)上之計算器件的通信協定套件。傳輸控制協定及網際網路協定為用於在網路（諸如，網際網路）上傳輸資料之標準協定。現轉至圖3，展示根據說明性實施例之開放系統互連 (〇si)基本參考模型之方塊圖。開放系統互連參考模型為用於界定網路器件之間的互用性及通信的標準協定層之通用模型。在此實例中，開放系統互連參考模型3〇〇包括傳輸控制協定/網際網路協定（TCp/Ip)套件。 TCP/IP及類似協定係由開放系統互連通信架構利用。在此實例中，架構包括應用層302、呈現層304、會期層 306、傳送層308、網路層31〇、資料鏈路層312及實體層 314。每一層負責處置各種功能及/或通信任務。、日應用層302處置正存取及/或執行的特定應用程式之細節。對於幾乎每-實施，皆存在許多共同的TCP/IP應用程式，包括：用於遠端登入之Telnet :檔案傳送協定㈣” 用於電子郵件之簡單郵件傳送協定（SMTp);及簡單網路管理協定（SNMP)。由應用層302處置之應用軟體可包括任—數目之軟體應用程式，其㈣計以對經由通信埠之資料^反應以提供使 130319.doc -14- 200849926 可包括有、視訊、用者尋求的所要功能性。在此階層下之應用程式必要用來處置可由網際網路之使用者存取的資料圖形、照片及/或文字之應用程式。王現層304包括一呈現協定一凡励疋及王現服務。呈現服務用以識別將使用之約定值译^ 0 ^ 、〕疋傳达浯法。呈現協定使使用者能夠壬現服務通信。、

會期層306由一會期協定及一會期服務組成。會期服務將服務提供至使用者，包括（但不限於）建立會期服務使用者之間的連接、終止制者之間的連接、執行會期層符記之使用的協商及使所傳輸之資料中之點同步以准許在出現錯誤或中斷時恢復會期。會期協定允許使料與會期服務通信。接著，傳送層308在網路層310與促進兩個主機電腦之間的資料之傳送之應用層302之間提供介面。傳送層3〇8與諸如（但不限於）以下事物的事物有關：針對下方網路層將自應用層傳遞至其之資料劃分成經適當定大小之塊（仏仙匕）；應答所接收之封包；及設定逾時以確定另一端應答所發送之封包。在TCP/IP協定套件中，存在兩個明顯不同之傳送協定：傳輸控制協定（TCP)及使用者資料包協定（UDP)。傳輸控制協定提供可靠性服務（包括遺失偵測（dropout detecti〇n)及重新傳輸服務）以確保在兩個主機之間適當地傳輸貧料。相反，使用者資料包協定藉由僅將被稱作資料匕之相對簡單的資料封包自一主機發送至另一者而將簡單知夕之服務提供至應用層302。在不提供用於保證資料包 130319.doc -15- 200849926 中之貧料被適當傳送之任一機構的情況下傳輸資料包。當使用使用者資料包協定時，應用層302必須執行可靠性功能性。傳送層資料封包資訊之實例包括（但不限於）來源主機之埠號及/或目的地主機之埠號。網路層310(其亦可被稱作網際網路層）處置資料封包遍及網路之移動。舉例而言，網路層31〇處置在網路上傳送之各種資料封包之投送。TCP/IP#件中之網路層31〇包含若干協定，包括：網際網路協定（Ip)、網際網路控制訊* ，定（謂卩)及網際網路群組管理㈣IGMp)。網際網路: 疋（IP)可包括（但不限於）第4版網際網路協定（ιρν4)、第6版網際網路協卿)或任一其他已知或可利用之版本的網際網路協定。網路層資料封包資訊之實例可包括（但不限於）網際網路協定（IP)位址’其識別來源主機1?位址及，或目的地主機IP位址。資料鏈路層312亦可被稱作鏈路層或網路介面層，且通常在作業线中包括器件驅動程式且在電腦中包_摩的網路介面卡。資料鏈路層312通常處置與實體層314實體介面連接之所有硬體細節’諸如(但不限於)，乙太網路介面卡及/或無線網際網路配接器。資料鏈路層資料封凡之實例可包括（但不限於）媒體存取控制（Mac)M止。、〇路3Γ4:正使用之網路媒體，諸如，光欖或乙太網、，見H之，實體層314為將計算器件（諸如 =戶端"〇)連接至網路(諸如，圖1中之網路_之實體網路電纜線。 X只 130319.doc 200849926 及較具㈣實施…送層· 圖4為說明當前使用之 Ψ w 早卸彳田保護椒構之方塊圖。網路貝科處理糸統4〇〇為包括吩曾接至、、罔路的兩個或兩個以上計叩件之資料處理系統，統_。在此, 網路資料處理系只彳中，，周路為網際網路。然而，網包括區域網路、廣域網 μ 路。網路資料處理“ 400 ::Γ:其他類型之網 4〇4。、，充400包括惡思主機402及犧牲者 _主機402為計算器件（諸如，圖i中之用戶端，駭客或其他未授權之使㈣，其執行犧牲者4〇4之璋掃田。換s之’惡意主機4〇2正試圖定位犧牲者4附之易為攻擊的開放之存取點，使得惡意主機術謂得對犧牲^ 4〇4之未授權的存取及/或經由開放之埠而對犧牲者―發動攻擊。惡意主機402正執行犧牲者4〇4之埠掃描以定位易受攻擊的開放之存取點以用於在對犧牲者4〇4發動攻擊之過程中加以使用。 ▲犧牲者404為代管（host) 一或多個應用程式及/或服務之計算器件。惡意主機4〇2連接至網路，諸如，圖工中之網路 102。用戶端計算H件可藉由請求經由網路連接而對與給定應用㈣或服務相關聯之蟀進行之連接來存取在犧牲: 404上可利用之應用程式及/或服務。犧牲者404包括埠掃描保護405。埠掃描保護4〇5為用於读測埠掃描且阻斷惡意主機402之來源IP位址之火二 ~ §前 130319.doc •17- 200849926 可利用之埠掃描保護軟體。埠用方法為藉由監視' 组關；蒦猎以工作之通犧牲者例使用，但可由駭客用於之以不正由與應用程式(其與淳相關聯)相關聯之擊::係歸因於保護405假定人土社勿又攻擊性。埠掃描埠，因為人\ ㈣將不⑽存取__之璋中的閉之L 者將知曉犧牲者4°4並不提供”二閉之蟑相關聯的應且關意主機4°2__以該組_之埠二埠= 二惡搜:在該等蟑上收聽的易受攻擊之服務。阜，口為其正若淳掃描保護4〇5伯測到遠桩夕勺· 制到咕求對該組關閉之埠中的埠之接之貝料封包（諸如，同步（syn)資料封包或來自特定'袁 :主此等資料封包之樣式)，則琿掃： :阻斷來自特定遠端主機之所有訊務。以此方式，即= =:到易受攻擊的開放之蟑，該遠端主機亦將不：：阻斷…因為來自該遠端主機之所有未來網路訊務被阻所。在此實例中，惡意主機402藉由將請求對犧牲者404上之一或多個熟知4之連接的—連串諸封包發送至犧牲者 4〇4來執行4掃描。資料封包傷為由惡意主機4G2發送的該連串資料封包中之一者。貝料封包406為傳輸控制協定/網際網路協定（TCp/Ip)資料封包，其含有連接至犧牲者4〇4上被識別為埠”n，，之埠的請求。在此實例中，資料封包406為請求對埠”n”之連接之傳輸控制協定同步（TCp SYN)訊息。埠” n，，可為任一埠號， 130319.doc -18- 200849926 諸士 ’、超文子傳送協定訊務相關聯之埠80。在此實例中，資料封包偏包括偽或假來源IP位址。來源IP位址為識別資斜私4 , 、ί匕之I运者的IP位址。偽來源1?位址為識別附帶之犧牲者彻而非資料封包傷之實際發送者之IP位址。附帶之犧牲者4〇8可為實際計算器件或附帶之犧牲者4 0 8可實際上木；a . /> 、存在。換吕之，由惡意主機402使用的偽1p位址不必識別實際計算器件。在此實例中，資料封包406包括與附帶之犧牲者4〇8相關聯之來源卩位址”a”而非IP位址B ，IP位址” B”為惡意主機4〇2之實際ιρ位址。回應於接收到資料封包406，犧牲者4〇4將資料封包41〇發运至附帶之犧牲者408。資料封包41〇為指示埠，，X，，為開放之埠還是關閉之埠的傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包41〇為同步應答（syn/ack) 訊息。資料封包41〇正被發送至與附帶之犧牲者4〇8相關聯之目的地IP位址A。因此，在自犧牲者4〇4至附帶之犧牲者408之訊息傳輸之一般過程中，惡意主機4〇2將不會接收到資料封包410。因為惡意主機402並非為資料封包之預定接收者，所以惡思主機402規採412來自網路之資料封包* 1 〇。窺探指捕獲或檢視意欲發送至不同目的地計算器件之資料封包。在此實例中，惡意主機402使用封包偵查程式（packet sniffer)來窺探意欲由附帶之犧牲者4〇8接收之資料封包 4 10。封包偵查程式為捕獲在網路上傳輸之資料封包而不管惡思主機並非逢資料封包之預定接收者之事實的應用程 130319.doc > 19- 200849926 因此，惡意主機402被通知蜂" 擊之開放之埠。若埠"χ、η: X疋否為可能易於受到攻對犧牲者404之攻擊414放之4，則惡意主機卿動犧牲者404具有當前埠掃 if蜱膳44 H 钿保4軟體。當前埠掃描保護允卉犧牲者404將資料封包4〇6 音主嬙辨^為來自駭客（諸如，惡思主機402)之可能的淳掃描。告二 ^Af)A^ ^ 田别埠知描保護軟體使犧牲者4〇4犯夠阻斷來自在可 &饴, 是之埠知描中識別之來源IP位址的後績汛息（諸如，資料封包 4η.. ^ + ^ 匕4〇6)。然而，因為資料封包 t έ ^㈣位址為偽ΙΡ位址，所以犧牲者404將不_ ^惡意主機術之訊息，諸如，與攻擊414相關聯之來自思主機402之訊息。以}卜古斗 λ - ^ 方式，惡忍主機402可能夠繞過 §前埠掃描保護軟體以攻擊 404。 ……或危害犧牲者 v— :此’在此實例中，惡意主機4〇2為埠掃描器，其正試圖藉由將TCP SYN封包（諸如，資料封包4〇6)發送至犧牲者衝之給定埠來連接至易受攻擊…由惡意主機產生之育料封包406包括可能存在或可能不存在的附帶之犧牲者之偽來源IP位址。若存在該給定埠上收聽的程式或應用程式，則犧牲者404藉由將TCP SYN/ACK封包（諸如，資料封包41 0)發送至附帶之犧牲者來回應。、惡思主機402監視網路且查看經過之資料封包41 〇。牮今主機402判定給定埠為可連接至的以非法利用在與給定埠相關聯之應用程式中之任何現有易受攻擊性的開放之璋。 130319.doc -20 - 200849926 惡意主機402可基於指派給每一瑝 ^、。母垾的熟知埠號來判定哪一應用程式與給定埠相關聯。犧牲者404上之埠掃描佯嘈益保4 405糟由阻斷附帶之犧牲者 408之偽來源ip位址”A”來水σ應偽封包。惡意主機402自由地將適當駭客工具用於此特定瑝心^ 狩疋垾及與该特定埠相關聯之易义攻擊之應用程式而將攻盤4 1 4旅1 s r, 对又孝41 4發迗至犧牲者404上之給定埠。說明性實施例認識到，在者兪$ ^ 隹田刚埠知描保護軟體使用在埠掃描期間自骇客接收之偽來㈣位址來對偽資料封包回應時，淳掃描保護軟體藉由阻斷附帶之犧牲者之偽來源IP位址而非真正惡意主機之會P汉貝IV、IP位址來回應。當前埠掃描保護軟體不能識別並阻斷真正來源IP位址，在該狀況下，偽來源IP位址係由惡思主機提供。因此，說明性實施例認識到對將在㈣到埠掃描後儘可能快地避開實際上正發動攻擊之主機IP位址的增強之埠掃描保護軟體的需要。因此’說明性實施例提供—種用於埠掃描保護之電腦實施方法、裝置及電腦可用 4 J用％式碼。在一實施例中，回應於偵測到一璋掃描，過多54 _ 牙產生一具有一用於一用以傳輸資料

封包之協定的經修改之楞M}丨u A /又 < 知頭之合覆貢料封包以形成一經修改之答覆資料封包。在以下描述之說明性實施例中，該用於該用以傳輸資料、之協定的、、二修改之標頭為經修改之傳輸控制協定標、二、:而1¾等σ兒明性實施例不限於修改傳輸控制協定中之標頭。該等說明性實施例可修改用於在網路連接上傳輸 130319.doc -21 - 200849926 資料封包的任一類型之已知或可利用之協定（包括（但不限於）傳輸控制協定或使用者資料包協定（UDP))中的標頭以形成經修改之答覆資料封包。 f

K 該經修改之答覆資料封包將引發一來自該經修改之資料封包之一接收者之回應。該過程將該答覆資料封包發送至一與该埠掃描相關聯之第一選路位址。回應於接收到對該經修改之答覆資料封包之一回應，該過程識別回應資料封包之一標頭中之一第二選路位址。在以下描述之實例中，該第一選路位址為一第一網際網路協定位址，且該第二選路位址為一第二網際網路協定位址。網際網路協定可為任一版本之網際網路協定，包括（但不限於）第4版網際網路協定（IPv4)、第6版網際網路協定（IPv6)或任一其他版本之網際網路協定。此外，說明性實施例不限於網際網路協定。根據該等說明性實施例，可使用用於提供一或多個埠之選路位址的任一類型之已知或可利用之協定。該第二選路位址為該埠掃描之一來源的一實際選路位址。來自該第二選路位址之所有網路訊務可接著受到阻斷以防止對任何開放之琿的一攻擊。現轉至圖5 ’展示說明根據說明性實施例之經由用於積測具有偽㈣⑽址之埠掃描之埠掃描保㈣統的流程之方塊圖。可使用任一類型之計算器件（包括但不限於，圖i 中之伺服器106或用戶端110)來實施電腦5〇〇。

電腦500包括應用程式集合5()2。應用程式集合⑽為在腦5〇0上可利用的一或多個應用程式及/或服務之集合。 130319.doc -22- 200849926 應用程式為使用計算器件務之電腦軟體。之貪源來為使用者執行任務或服 μ用私式木口 502可儲存於資料儲存器件(諸如，資料儲存器件504)上。資料儲存器件州為用於儲存資料的任一類型之已知或可利用之器件，包括(但不限於)主記憶體、貧料庫、唯讀記憶體（R0M)、隨機存取記憶體（ram)、非揮發性隨機存取記憶體(NV，、硬碟、快閃記憶體、

軟碟、可重寫之緊密光碟(CD_RW)或任一其他類型之資料儲存器件。在此實例中，資料儲存器件5〇4位於電腦卿上或定位於電腦500本端。然而，資料儲存器件5〇4亦可定位於電腦500遠端。電腦500使用#輸控制協定/網際網路協定（Tcp/⑺鄕來傳輸及接收來自連接至一網路(諸如，圖U之網路ι〇2)的其他計算器件之訊息。TCP/IP 5〇6為用於提供發送者與接收者之間的連接之標準協定套件。Tcp/Ip 5〇6可提供保證之輸送，且確保按正確序列接收封包。換言之，當將訊息自另一計算器件發送至電腦500時，可不按次序接收該等訊息。因此，TCP/IP 5〇6使用傳輸控制協定（Tcp)序號來確保按正確次序將訊息輸送至應用層。 TCP/IP 506將序號給予由丁cp/Ip 5〇6發送之每一訊息，使得訊息之接收者可判定該等訊息之正確次序。當建立電腦500與第二計算器件之間的連接時，在電腦5〇〇與第二計 #為件之間父換初始序號（ISN)。若序列外號碼處於特定界限或限制内，則TCP/IP 506允許接收具有序列外之序號 130319.doc -23- 200849926 之§fL恩。然而，甚床缺太沒、、右序就在序唬之預期範圍外過遠，則訊息將被忽視或識別為不正確的訊息。在此等狀況下，電腦 500可請求第二電腦重新發送具有不正確的序號之訊息。 TCP/IP 506包括埠5〇8及埠51〇。在此實例中，電腦· 被“繪為具有兩個槔 '然而，電腦可具有任—數目之璋。蜂508具有所指派之埠號且與應用程式集合502中之應用紅式相關&。舉例而言，若埠5〇8與用於處置超文字傳送協定訊務之應用程式相關聯’則埠5()8將被指派埠號8〇。在此實例中，埠508為開放之埠。阜亦被才曰派埠號。在此實例中，埠5 i 〇為用於播案傳送協定（FTP)之所指派之蟑號2〇。然@，在此實例卜權

案傳送協定在電牆$ 〇 μ t ^ I 上不可利用。因此，埠5丨〇為關閉之璋。電腦500亦包括增強之璋掃描保護512。增強之蜂掃描保護512為用於❹j蜂掃描且阻斷與惡意主機或執行槔掃描之其他計算器件（諸如，惡意主機516)相關聯之巧位址掃描保護軟體。惡意主機516為f十與電腦5〇〇相關聯之一或多個璋（諸如’蟑及510)執行埠掃描之駭客、竊賊、未授權之使用者或非法使用者。惡意主機516包括用於在網路上發、关及接收資料封包之Tcp/Ip 518協定套件。惡意主機5 = 此網路連接上連接至電腦5〇〇。心思主機5 16包括埠掃描器52〇。埠掃描器52〇可為用於 130319.doc -24- 200849926 執行電腦500上之一或多個埠之集合的埠掃描之任一類型之已矣或了利用之态件。埠掃描器5 2 〇可完全實施於軟體中或作為硬體與軟體之組合而實施。在此實例中，埠掃描為520產生埠掃描資料封包522。埠掃描資料封包π]包括偽來源IP位址524。偽來源IP位址524並非與惡意主機516 相關聯之ip位址。偽來源1]?位址524可為除惡意主機516外之實際計算器件之IP位址，或偽來源IP位址524可為並不實際存在的計算器件之IP位址。增強之琿掃描保護5 12包括來源Ip位址偵測5 14。來源Ip 位址谓測5 14為用於產生答覆資料封包526之軟體組件。答覆資料封包526為經修改以強迫惡意主機516上iTcp/Ip 5 1 8產生回應5 2 8之資料封包。換言之，若增強之埠掃描保護5 12偵測到一埠掃描，則增強之埠掃描保護5 12藉由將答覆貧料封包526發送至惡意主機516來回應，該答覆資料封包526將使惡意主機516發送回應528。在回應528之傳輸控制協定標頭中，回應528可包括重設（RST)旗標或結束應答 (FIN/ACK)旗標。在此實例中，在回應528之傳輸控制協定標頭之網路層中，回應528亦包括惡意主機之真實Ip位址 530。電腦500可自回應528識別惡意主機之真實Ip位址53〇。增強之埠掃描保護512接著避開或阻斷惡意主機516之實際 IP位址530以防止來自惡意主機516之任何未來攻擊。接著’圖6為說明根據說明性實施例之埠掃描保護機構之方塊圖。網路資料處理系統6〇〇為包括連接於網路上的 130319.doc -25- 200849926 多個計算器件之資料處理系、统，諸如，圖!中之網路資料処里系’’先1 00。在此實例中，網路為網際網路。然而，網路亦可包括區域轉、廣_路、乙錢路或任-其他類型之網路。網路資料處理系統咖包括惡意主機6G2及犧牲者 604。惡意主機602為計算器件（諸如，W1中之用戶端U0或圖 1中之惡意主機516)上的駭客或其他未授權之使用者。惡。主栈602正對犧牲者6()4執行未授權之埠掃描，以試圖定位易受攻擊的開放之存取點以_、意主機6〇2可經由開放之蜂❹對犧牲者6G4進行未授權的存取及/或對犧牲者 6〇4發動攻擊。犧牲者604為代管一或多個應用程式及/或服務之計算器件，諸如，圖1令之伺服器1〇6或圖5中之電腦5〇〇。藉由請求經由網路連接而對與給定應用程式或服務相關聯之埠進行之連接，用戶端計算器件可存取在犧牲者6〇4上可利用之應用程式及/或服務。犧牲者604包括增強之埠掃描保護6〇5(其包括來源巧位址偵測軟體），諸如，圖5中之增強之埠掃描保護512。增強之埠掃描保護605為用於在當惡意主機6〇2藉由使用偽來源ip位址來發送資料封包606而發動埠掃描時識別惡意主機602之IP位址且阻斷惡意主機6〇2之，Ip位址而非阻斷由惡意主機602使用之偽來源IP位址過程中使用的軟體。惡意主機602藉由將請求對犧牲者6〇4上之一或多個熟知埠之連接的一連串資料封包發送至犧牲者6〇4來執行埠掃 130319.doc -26- 200849926 資料封包606為由惡意主機6〇2發送至犧牲者上之阜的，亥連串之貝料封包中之—者，諸^，圖$中之璋掃描資料封包522。貝料封包606為請求對犧牲者604上識別為埠”n”的埠之連接之傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包606為傳輸控制協定同步（TCp δγΝ)資料封包。埠η”可為任一埠號，諸如，與超文字傳送協定訊務相關聯之埠8 0。資料封包606包括附帶之犧牲者之偽或假來源ιρ位址。附帶^犧牲者可能實際存在或可能不實際存在。在此實例中貝料封包606包括與一附帶之犧牲者相關聯之來源Ιρ 位址”Α”而非ΙΡ位址"Β”，該Ιρ位址"Β"為惡意主機6〇2之實際IP位址。回應於接收到資料封包606，增強之埠掃描保護605產生資料封包608。資料封包608為答覆資料封包，諸如，圖5 中之答覆資料封包526。資料封包608經建立以使得該資料封包在惡意主機602窺探來自網路的資料封包6〇8時將引發來自惡意主機602之回應。資料封包6〇8之傳輸控制協定 (tcp)標頭之標頭以在惡意主機6〇2窺探來自網路之資料封包608時將哄騙惡意主機之丁(：1)/11>層回應資料封包之方式更改。舉例而言，若增強之埠掃描保護605將不正確的序號給予資料封包608，則惡意主機602之TCP/IP層將藉由發送同步（SYN)旗標以試圖重新連接至犧牲者6〇4來回應。不正確 130319.doc •27- 200849926 的序號為在可能之序號之預期或可接受之範圍外的序號。結束（FIN)旗標指示會期之終結。當接收到包括結束旗標之資料封包時，回應地，TCP/IP自動發送結束應答。因此，若埠掃描保護6〇5將結束旗標給予資料封包6〇8，則惡意主機602之TCP/IP層將在傳至犧牲者6〇4之回應訊息中自動發送結束應答（FIN/ACK)旗標。因此’在此實例中，增強之埠掃描保護6〇5將資料封包 608¾送至與偽來源ip位址相關聯之附帶之犧牲者。資料封包608為指示埠”n”為開放之埠還是關閉之埠的傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包6〇8 含有同步應答（SYN/ACK)旗標及不正確的序號。犧牲者 604將貝料封包608發送至與附帶之犧牲者相關聯之偽卩位址，，Α，，。資料封包608之標頭中的資料鏈路層指示資料封包6〇8之目的地的媒體存取控制（MAC)位址。媒體存取控制位址指定目的地計算器件之特定網路配接器。在此狀況下，媒體存取控制位址指定附帶之犧牲者之網路配接器。通常，若惡意主機602並不在窥探模式下運作，則惡意主機602將不接收資料封包_，因為f料鏈路層媒體存取检制位址並不匹配與惡意主機6〇2相關聯之網路配接器。然而，在此實例中，惡意主機6〇2處於窺探模式下。因此，與惡意主機602相關聯之乙太網路驅動程式將忽略資料封包6G8之標頭中的媒體存取控制位址，且將資料封包 608向上傳遞至與惡意主機6〇2相關聯之Tcp/ip層。 130319.doc •28- 200849926 惡意主機602窺探來自網路之資料封包6〇8。在此實例中，惡意主機602使用封包谓查程式來窺探來自網路之資料封包608。回應於偵測到資料封包6〇8中之不正確的序號、，惡意主機602之了⑽層自動產生對資料封包61 〇之回應並將其傳輸至犧牲者604，以試圖重新連接至犧牲者 6〇4。資料封包㈣為回應資料封包，諸如，圖$中之回廡 528。〜資料封包6H)含有,€、意主機⑽之實際來源ιρ位址"b"，而非偽IP位址"A”。增強之埠掃描保護605阻斷實際來源Ip 位址B在網路上將其他訊息發送至犧牲者⑼*。以此方式，阻斷惡意主機602發動對犧牲者6〇4上之任何易受攻擊的璋之任何攻擊。圖7為根據說明性實施例之在料描㈣傳輸之缚掃描料的例示性說明。蟑料 1料封包為具有由惡意主機產生之偽來源卩位址之資料封包’諸如，圖5中之埠掃描^㈣包522及/或圖6中之資料封包6〇6。在此實例中，阜掃心資料封包為同步（SYN)資料封包。、後貝料冑包703為由埠掃描資料封包702之接收者產生的::料封包，諸如’料之答覆資料封包526及/或圖6中次、'、料封包608 ο帛收者為惡意主機之預定犧牲者。答覆 703由犧牲者產生且被發送至偽ιρ位址。在此實例中，答覆咨斗止^ ^ t ' 〃、/4封匕為由惡意主機之預定犧牲者（諸如， = 之犧牲者604)產生的同步應答（SYN/ACK)資料封 130319.doc -29· 200849926 /車掃描f料封包702包括區段704中之資料鏈路層之資自’—主機至預定犧牲者的埠掃描資料封包之傳輸路，友將基於k路表來指派乙太網路（ETH)媒體存取控制 (MAC)位址。埠知；田貝料封包7()2亦包括網路層中之資訊。網路層資訊包括行705中之偽來源1P位址V。偽來源IP位址，，A”為的或不存在的附帶之犧牲者之IP位址，而非產生埠掃描資料封包702之惡意主機之實際ΠΜ立址。資料封包中之、罔路層貝Λ亦包括識別犧牲者計算器件之目的地ιρ 706 〇、阜知“貝料封包7G2中之傳送層資訊識別惡意骇客之來源淳號及犧牲者主機計算器件之目的料號，如行708中所二仃71G為埠掃描封包之序號。行712將資料封包識別為二长與犧牲者計算器件之連接的同步（SYN)資料封包。 ιρ答覆資料封包703包括犧牲者之來源IP位址714及目的地位址716。目的地Ip位址716為由惡意駭客使用的址。 ^ _資巩包括產生答覆資料封包的犧牲者計算器件之來源埠號，如行714中所示。行716包括一目的地ιρ位址。此實例中夕n ^ 目的地IP位址為附帶之犧牲者之偽IP位址。附 π 2犧牲者可能實際存在或可能不實際存在。。仃722可提供不正確的序號。不正確的序號為可能之序號之預期或可接受之範圍外的序號。卜私示合覆資料封包703為同步/應答（syn/ack)資 130319.doc -30- 200849926 料封包。在另一實例中，行722可指示答覆資料封包7〇3為重設（RST)或結束（FIN)資料封包。換s之，使用當前可利用之埠掃描保護軟體，若犧牲者具有埠23(其可在行7〇8中加以識別）上之作用中服務，則該冑牲者將藉由產生⑽/人⑶答覆資料封包來回應。此將為犧牲者上的埠23與惡意主機之埠1494之間的會期之終結。惡意主機將接著知曉犧牲者具有在埠23上執行之丁d⑽服〆矛力。惡思主機可接著對埠23發動Telnet攻擊。當前埠掃描保羞权體將阻斷在埠掃描封包之行7〇5中識別的偽π位址’但將不能夠阻斷惡意主機之實際則立土止。因此，惡意主機將自由攻擊埠23。根據料說明性實施例，當犧牲者接收到埠掃描資料封 ^犧牲者上的增強之埠掃描保護軟體以強制實際惡思主機回應之此方式來回應。舉例而言，增強之埠掃描保遵权體產生包括不正確的序號、重設⑽丁）訊息或結束 I (_訊息之答覆資料封包703。因為附帶的主機從不發送阜掃4田貝料封包7〇2，所以附帶的主機將不回應答覆封包703。竇愔盔 # 、 • 、馮’右附帶的主機實際存在，則該附帶的主機將僅忽略答薄眘復貝枓封包703。若附帶的主機不存在，亡 ^王機不可回應答覆資料封包703。因此，僅期望惡意主機回應欠：@ •欠 …。覆舅料封包703。以此方式，犧牲者可

識別並阻斷使用檢# i i I 更用車知描來識別可易於受到由惡意主機進之攻擊的開放之埠的亞立+ n 旱的惡忍主機之實際IP位址。現參看圖8，描綸$ _、、、胃成明根據說明性實施例之用於偵測具 130319.doc -31 - 200849926 有偽來源的立址之埠掃描之過程的流程圖。在圖8中展示之此說明性實例中，過程由埠掃描保護（諸如，圖$中之增強之埠掃描保護512)之軟體組件執行。過程開始於作出是否偵測到埠掃描之判定（步驟802)。二她則到璋掃描，則過程返回至步驟8〇2，直至谓測到為止。當自惡意主機接收到蟑掃描資料封包或一連串育料封包時，可偵測到埠掃描。尹若在步驟802中偵測到埠掃描’則過程產生經修改之答 =封t(步驟8°4)。該過程將經修改之答覆資料封包發 I ·描育料封包中識別之來源ιρ位址（步驟嶋）。在 =例中’來源IP位址為並非進料掃描之主機的正抑位址之偽來源IP位址。過程接著作出是否接收到咖“土 …文到對答覆之回應的判定(步驟右未接收到回應’則過程返回至步義8,直至接到回應為止。當在步驟808中按收到回應％，過程阻斷二自在回應之傳輸控制協定標頭中識別的第二即立址之所 ^ |方止τ此自埠掃描之來源發動的任何攻擊，此後，過程終止。圖9為說明根據說明性實之迟浐μ 耳她例之用於修改答覆資料封包 =?。在圖9中之此實例中，過程可由埠掃描施:圖5中之增強之埠掃描保護叫之軟體組件實過程開始於產生答覆資料封否蕤*踗貝枓封包（步驟902)。過程作出是否猎由將不正確的序號添加至笈 25疋 σ是貝料封包之傳輸控制協 130319.doc •32- 200849926 定標頭來修改答覆資料封包之判、、天Λ τ 爿疋（步驟9〇句。若作出藉由 "J、、加不正確的序號來修改答覆 ^ Α 貝枓封包之判定，則過程將不正確的序號添加至答覆資料封包饮％之橾頭（步驟906)且將經 G改之答覆資料封包傳輸至町^之犧牲者（步驟908)，此後，過程終止。 ) —σ至/驟904 ’右作出將不添加不正確的序號之判 ::則該過程作出是否將重設旗標或結束旗標添加至答覆

l. 貝二封包之判定（步驟910)。若該過程作出將*添加旗標之判定’則過程此後終止。返回至步驟910’若該過程作出藉由添加重設旗標或結 ^旗標來修改答覆諸封包之判定，則該過程添加重設旗標或結束旗標（步驟912)至答覆"封包1程接著將經修改之答覆貝料封包發送至附帶之犧牲者（步驟9⑽），此後，過程終止。口此說明性貫施例提供一種用於埠掃描保護之電腦實施方法、裝置及電腦可用程式碼。在一實施例中，回應於偵測到一埠知描，過程產生一具有一經修改之傳輸控制協定^碩之答覆資料封包以形成一經修改之答覆資料封包。该經修改之答覆資料封包將引發來自該經修改之資料封包之一接收者之一回應。該過程將該答覆資料封包發送至一 ^ W亥蜂掃描相關聯之第一網際網路協定位址。回應於接收到對該經修改之答覆資料封包之一回應，該過私識別回應資料封包之一標頭中之一第二網際網路協定位址。違第二網際網路協定位址為該埠掃描之一來源的一 130319.doc -33- 200849926 來自該第二網際網路協定位址之阻斷以防止對任何開放之埠的攻實際網際網路協定位址。所有網路訊務可接著受到擊。正==輸控制協定標頭可包括-不正確的序號。不〃的序號為在序號之可接受之範圍外的序號。在另一實該經修改之傳輸控制協定標頭可包括—重設旗標 …。束旗標。在另一實施例中’藉由更改一用以產生該經修改之答覆資料封包之總和檢查碼來產生該經修輸控制協定。 ’ 、、# 4彳p方止由駭各使用偽IP位址進行的對開放且潛在易受攻擊的琿之攻擊。該等圖中之流程圖及方塊圖說明根據各種實施例的系統、方法及電腦程式產品之可能實施之架構、功能性及操作。就此而言，流程圖或方塊圖中之每—步驟可表示模組、。片段或程式碼之部分，$包含用於實施該或該等指定邏輯功能之一或多個可執行指令。亦應注意，在一些替代實施中，該等步驟中所述之功能可能不按圖中所述之次序發生。舉例而言，實際上可大體上同時執行連續展示之兩個步驟，或有時可取決於所涉及之功能性而以相反次序執行該等步驟。本發明可採用完全硬體實施例、完全軟體實施例或含有硬體及軟體元件兩者之實施例的形式。在較佳實施例中，本發明實施於軟體中，軟體包括（但不限於）韌體、常駐軟體、微碼等。 130319.doc -34- 200849926 此外’本發明可採用電腦程式產品產品可自提供由電腦或任一指令執工：兒知私式丁糸統使用或與：i：《士人使用之程式碼的電腦可用或電腦可讀媒體存取。出^二電腦可讀媒體可為任-有形裝入有、儲存、傳達、傳播或傳送用於由指令執行系統、裝置或益'件使用或與其結合使用的程式。 /、媒體可為電子、磁性、光學、電磁、紅;線 =或裝置或器件）或傳播媒體。電腦可讀媒體之實例^ 導體或固^己憶體、磁帶、抽取式電腦磁片、隨機存取記卿，、唯讀記憶體(ROM)、硬磁碟及光碑之當雨實例包括緊密光碟·唯讀記憶體仰-ROM)、緊密碑片-讀/寫（CD-R/WrDvd。糸4碟適合於儲存及/或執行程式碼之資料處理系統將包括經統匿流排而直接或間接耗接至記憶體元件之至少一产 =器。該等記憶體元件可包括在程式碼之實際執行期間： 2之局部記憶體、大量儲存器及快取記憶體，快取記情體 t供至少-些程式碼之暫時錯存以便減少在執行期間自大量儲存器擷取程式碼之次數。、輸入/輸出或I/O益件（包括但不限於M、_ 器::等他或經由介入之1/0控制器而耗接至系統广 /’、工由"入之私用或公用網路，亦可將網路配接器搞接至糸統^使資料處理系統能夠變得搞接至其他資料處理系、先或通端印表機或儲存器件。數據機、電繞線數據機及乙太網路卡僅為當前可利用之類型之網路適配器中的少數幾 1303I9.doc -35- 200849926 說明及描述之目的而呈現本發明之描述，且不思欲為詳盡的或以所揭示之形式，、並孰羽仏s 叭丨艮於本發明。對於一妒 …白此項技術者而言，許多修改及變化將顯 '、又並描述實施例以便最佳地解釋本發明之原理、實際應^擇 ==習此項技術者能夠針對具有適合於預二用 '、種知改的各種實施例而理解本發明。【圖式簡單說明】 :為可實施說明性實施例之資料處理系統之不表示； j闺圖2為可實施說明性實施例之資料處理i统之方塊圖；圖3為根據說明性實施例之開放系統互連 ’ 模型之方塊圖； h本參考圖4為說明當前使用之埠掃描保護機構之方塊圖；圖5為說明根據說明性實施例之經由用於偵測具有偽來源IP位址之埠掃描之埠掃描保護系統的流程之方塊圖:’、圖6為說明根據說明性實施例之埠掃描保護機構之方塊圖；圖7為根據說明性實施例之在埠掃描期間傳輸之埠掃描封包的例示性說明； Θ 圖8為說明根據說明性實施例之用於债測具有偽來㈣位址之埠掃描之過程的流程圖；及圖9為說明根據說明性實施例之用於修改答覆資料封包之過程的流程圖。 130319.doc • 36 - 200849926 【主要元件符號說明】 100 網路資料處理系統 102 網路 104 伺服器 106 伺服器 108 儲存單元 110 用戶端 112 用戶端 114 用戶端 200 資料處理系統 202 北橋及記憶體控制器集線器（MCH) 204 南橋及輸入/輸出（I/O)控制器集線器（ICH) 206 處理單元 208 主記憶體 210 圖形處理器 212 區域網路（LAN)配接器 216 音訊配接器 220 鍵盤及滑鼠配接器 222 數據機 224 唯讀記憶體（ROM) 226 硬碟機（HDD) 230 CD-ROM光碟機 232 通用串列匯流排（USB)埠及其他通信埠 234 PCI/PCIe 器件 130319.doc -37- 200849926 236 238 240 300 302 304 306 308 310 312 314 400 402 404 405 406 408 410 412 414 500 502 504 506 超i/o(sio)器件匯流排匯流排開放系統互連參考模型應用層呈現層會期層傳送層網路層資料鏈路層實體層網路資料處理系統惡意主機犧牲者埠掃描保護資料封包附帶之犧牲者資料封包窺探攻擊電腦

應用程式集合資料儲存器件 TCP/IP 130319.doc -38- 200849926 508 510 512 514 516 518 520 522 524 526 528 530 600 602 604 605 606 608 610 702 703 704 705 706 130319.doc 埠埠增強之淳掃描保護來源IP位址偵測惡意主機 TCP/IP 埠掃描器璋掃描育料封包偽來源IP位址答覆資料封包回應真實IP位址貢料處理糸統惡意主機犧牲者增強之埠掃描保護資料封包資料封包資料封包埠掃描資料封包答覆資料封包區段行目的地IP位址 -39- 200849926 708 行 710 行 712 行 714 犧牲者之來源IP位址/行 716 目的地IP位址/行 722 行 130319.doc ·40·

Claims

200849926 十、申請專利範圍： 1. -種用於埠掃描保護之電腦實施方法，該方法包含：回」於_-璋掃描，產生-具有-用於一用以傳輸貝料封包之協定的經修改之標頭之答覆資料封包以形成、、二修改之答覆資料封包，其中該經修改之答覆資料封包將引發—來自該經修改之答覆資料封包之—接收者之回應；將該、座修改之答覆貧料封包發送至一與該淳掃描相關聯之第一選路位址；及回應於接收到對該經修改之答覆資料封包之該回應，識別该回應之一標頭中的一第二選路位址，其中該第二選路位址為該埠掃描之一來源的一實際選路位址。 2·如請求項1之電腦實施方法，其中用於該協定之該經修改之標頭包括一不正確的序號。 3·如請求項2之電腦實施方法，其中該不正確的序號為一將激發一來自該接收者之回應的協定違規。 • 士明求項1之電腦實施方法，其中用於該協定之該經修改之標頭包括一重設旗標。 5 ’ 士明求項1之電腦實施方法，其中用於該協定之該經修改之標頭包括一結束旗標。月长項1之電腦實施方法，其中修改該標頭進一步包含：更改一用以產生該經修改之答覆資料封包之總和檢查 130319.doc 200849926 7. 如請求項1之電腦實施方法，其進-步包含：阻斷發源於該第二選路位址之所有任何開放之埠的—攻擊。 “務以防止對 8. 如請求们之電腦實施方法，其中該第為一計算哭件之τ ☆ &路位址並非 |开郎忏之一正確選路位址。 9·如請求項1之電腦實施方法，其進一步包含：回應於接收到一埠掃描資料封包 ^ ^ 神5亥埠掃描資料封一軚頭中之一來源選路位址識址。《〜马邊弟一選路位 10·如蚺求項2之電腦實施方扁床f 正確的序號為- 在序唬之一可接受之範圍外的序號。 n.t請求項1之電腦實施方法，其中用於該協定之該經修改之標頭為一經修改之傳輸控制協定標頭。 12.如請求項1之電腦實施方法，其中用於該協定之該經修改之標頭為-經修改之使用者資料包協定標頭。 13·如請求項〗之電腦實施方 ^ T d弟一選路位址為一弟-網際網路協定位址’且其中該第二選路位址為一第二網際網路協定位址。 14. 一種電腦程式產品，其包含：。-電腦可用媒體，其包括用於蟑掃描保護之電腦可用程式碼，該電腦程式產品包含：用於回應於偵測到一埠掃描而產生一具有一用於—用以傳輸資料封包之協定的經修改之標頭之答覆資料封包 130319.doc -2- 200849926 以形成一經修改之答覆資料封包之電腦可用程式碼，其中該經修改之答覆資料封包將引發—來自該經修改之答覆資料封包之一接收者之回應資料封包； ° 用於將該經修改之答覆資料封包發送至-與該蟑掃描相關如之第一選路位址之電腦可用程式碼丨及用於回應於接收到該回應資料封包而識別該回應資料封包;之-標頭巾的―第二選路位址之電腦可用程式碼，其中忒第—選路位址為該埠掃描之一來源的一實際選路位址。 15.如請=項14之電腦程式產品，其中用於該協定之該經修改之標頭包括一不正確的序號。 1 6· 士 .月求項1 5之電腦程式產品，其中該不正確的序號為— 在序號之一可接受之範圍外的序號。 17·如請求項15之電腦程式產品，其中該不正確的序號為一將激發一來自該答覆資料封包之一接收者之回應的協定違規。 m請求項14之電腦程式產品’其中用於該駭之該經修改之標頭包括一重設旗標。 19.如請求項14之電腦程式產品，其中用於該協定之該經修改之標頭包括一結束旗標。 20·如請求項14之電腦程式產品，其進一步包含：用於更改一用以產生該經修改之答覆資料封包之總和檢查碼之電腦可用程式碼。 21·如請求項14之電腦程式產品，其進一步包含： 130319.doc 200849926 22 23. 24. 25. 用於阻斷發源於該第二選路位址之所有網路止對任何開放之埠的一攻擊之電腦可用程式碼。々防 .如請求賴之電腦程式產品，其中用於該協定之該改之標頭為一經修改之傳輸控制協定標頭。二> =請求項Η之電腦程式產品，其中該第—選路位弟-網際網路協定位址，且其中該第二選路位址二網際網路協定位址。 —弟一種裝置，其包含：一匯流排系統；一通信系統，其連接至該匯流排系統； -記憶體，其連接至該匯流排系統，其中該記憶體包括電腦可用程式碼；及 -處理單元，其連接至該匯流排系統，其中該處理單凡執行該電腦可用程式碼以：回應於偵測到一埠掃描而產生一具有一用於一用以傳輸資料封包之協定的經修改之標頭之答覆資料封包，以形成一經修改之答覆資料封包，其中該經修改之答覆資料封包將引發一來自該經修改之答覆資料封包之一接收者之回應資料封包；將該經修改之答覆資料封包發送至一與該埠掃描相關聯之第一選路位址；及回應於接收到該回應資料封包而識別該回應資料封包之一標頭中的一第二選路位址，其中該第二 k路位址為邊埠掃描之一來源的一實際選路位址。如明求項24之裝置，其中用於該協定之該經修改之標頭包括一不正確的序號。 130319.doc 200849926 26·如請求項24之裝置，直 ”干用於讜協疋之該經修改之樟包括一重設旗標。 <铩碩 27. 如睛求項24之裝詈，立，、中用於該協定之該經修改之標頭包括一結束旗標。只 28. 如請求項24之裝置，一 Τ孩處理裔早兀進一步執腦可用程式碼以阻斷私、、$ 卜 % $ Λ、於該第二選路位址之所有網路私以防止對任何開放之埠的一攻擊。 29·如請求項25之裝詈，並士

中该不正確的序號為一將激發一來自該答覆資料封包之—接收者之回應的協定達規。天 3〇.如凊求項24之裝置，其中用於該協定之該經修改之桿頭為一經修改之傳輸控制協定標頭。、 31.如請求項24之裝置，其中該第一選路位址為-第-網際網路協定位址，且苴φ 、且其中該弟一選路位址為一第二網際網路協定位址。 32. -種用於針對埠掃描而提供保護之系統，該系統包含：一主機電腦，其中該主機電腦包含：、，一增強之埠掃描保護軟體，其用於偵測一埠掃描資料封包，及回應於偵測到一埠掃描而產生一具有一用於一用以傳輸資料封包之協定的經修改之標頭之答覆資料封包以形成一經修改之答覆資料封包丨及 -來源網際網路協定位址偵測器，其中該來源網際網路協定位址偵測器識別對該經修改之答覆資料封包之一回應之一標頭中的一來源選路位址，其中該來源選路位址為該埠掃描之一來源的一實際選路位址。 130319.doc 200849926 33. 如請求項32之系包括一將激發一的協定違規。統，其φ m 用於該協定之該經修改之樟頭來自該答覆資料封包之一接收者之= 34. 如請求項32之系統，包括—重設旗標或一 35. 如請求項32之系統，一步包含：中用於该協定之該經修改之標頭結束旗標。其中該主機系統為一第一電腦且進

一〜冤腦，其中該第二電腦包含：埠掃描器，其中兮含路位、中5亥埠知描器藉由將具有一偽來源選 =址之料料資㈣包發駐該第— :電：執行該蜂掃描，其中該偽來源選路位址並非為: 弟一電腦之一正確選路位址；及專輸才工制協疋/網際網路協定層，其中該傳輪控制協罔IV、、、、罔路協定層自動產生對該經修改之答覆資料封包之該回應。

130319.doc