TWI436631B

TWI436631B - 偵測具有偽來源位址之埠掃描的方法和裝置

Info

Publication number: TWI436631B
Application number: TW097114331A
Authority: TW
Inventors: Shawn Patrick Mullen; Johnny Meng-Han Shieh; Gerald Francis Mcbrearty; Susann Marie Keohane; Jessica Carol Murillo
Original assignee: Ibm
Priority date: 2007-04-23
Filing date: 2008-04-18
Publication date: 2014-05-01
Also published as: CN101669347A; DE602008003560D1; KR20090115198A; BRPI0809841B1; IL201726A0; CN101669347B; KR101054705B1; JP2010527527A; IL201726A; ATE488945T1; US20080263666A1; CA2672528C; EP2140656A1; TW200849926A; WO2008128941A1; US7962957B2; BRPI0809841A2; MX2009011403A; JP4517042B1; CA2672528A1

Description

偵測具有偽來源位址之埠掃描的方法和裝置

本發明大體而言係關於一種資料處理系統，且特定言之，係關於一種針對資料處理系統安全性之方法及裝置。更特定言之，本發明係關於一種用於使用偽來源網際網路協定位址來阻斷埠掃描器之電腦實施方法、裝置及電腦可用程式碼。

藉由連接至在與應用程式或服務相關聯之伺服器上的埠，連接至網路的計算器件(諸如，用戶端)上之使用者可執行在不同計算器件(諸如，伺服器)上可利用之應用程式或其他服務。埠為網路中之用戶端與伺服器之間的邏輯連接之端點。埠通常由埠號來識別。伺服器上可利用之每一應用程式與不同埠號相關聯。

換言之，埠如同電腦上之特定應用程式之門或閘道器。如同門，埠可開放或關閉。伺服器上的開放之埠為與由一或多個用戶端電腦使用之在伺服器上當前可利用之應用程式相關聯的埠。關閉之埠為不與在伺服器上可利用之應用程式或服務相關聯之埠。駭客通常不可經由關閉之埠來存取電腦。

計算器件可藉由指定與特定應用程式相關聯之埠號來存取伺服器上之特定應用程式。然而，有時未授權的或惡意使用者出於對伺服器發動攻擊之目的可能想要存取伺服器上之應用程式或服務。此等使用者通常被稱作駭客或電腦竊賊。由駭客攻擊之伺服器可被稱作預定犧牲者。

駭客通常並不知曉在預定犧牲者上何應用程式或服務係可利用的。因此，駭客可執行埠掃描。埠掃描為用於系統掃描電腦之埠以判定哪些埠為與可利用之應用程式或服務相關聯的開放之埠及哪些埠為關閉之埠的方法。在埠掃描中，發送請求與每一熟知埠之連接的一連串訊息。自預定犧牲者接收之回應指示該熟知埠為開放之埠還是關閉之埠。埠掃描由駭客用以定位可能易受攻擊之電腦的開放之存取點。

一旦定位出易受攻擊的開放之埠，駭客可發動攻擊，其可引起與受攻擊的開放之埠相關聯的應用程式之資源對應用程式之預定使用者而言不可利用。此類型之攻擊有時被稱作阻斷服務(DOS)攻擊。

此問題之一解決方案係由埠掃描保護軟體提供。當前埠掃描保護軟體識別可為埠掃描之部分的連接請求中之來源網際網路協定(IP)位址。埠掃描保護軟體接著阻斷此來源IP位址。換言之，埠掃描軟體並不允許接收來自此來源IP位址之任何額外訊息。此情形可防止由駭客使用同一來源IP位址進行的後續攻擊。

然而，駭客已藉由在埠掃描期間使用偽來源IP位址來規避當前埠掃描保護軟體以定位開放之埠。當埠掃描軟體認識到埠掃描可能正發生時，埠掃描保護軟體阻斷在埠掃描訊息中識別之偽IP位址。然而，當前埠掃描保護軟體並不阻斷駭客之實際IP位址。因此，駭客仍然自由地使用駭客之實際IP位址對任何開放之埠發動攻擊，該實際IP位址並不受到埠掃描保護軟體之阻斷。此等攻擊可對試圖獲得對由預定犧牲者提供之應用程式及/或服務之合法存取的使用者導致阻斷服務(DOs)效應。此外，此等攻擊可在應用程式及/或服務不可利用時導致時間、資料及收益之損失。

說明性實施例提供一種用於埠掃描保護之電腦實施方法、裝置及電腦可用程式碼。在一實施例中，回應於偵測到一埠掃描，過程產生一具有一用於一用以傳輸資料封包之協定的經修改之標頭之答覆資料封包以形成一經修改之答覆資料封包。在一實施例中，該用於一用以傳輸資料封包之協定的經修改之標頭為一經修改之傳輸控制協定標頭。

該經修改之答覆資料封包將引發一來自該經修改之資料封包之一接收者之回應。該過程將該答覆資料封包發送至一與該埠掃描相關聯之第一選路位址。

回應於接收到對該經修改之答覆資料封包之一回應，該過程識別回應資料封包之一標頭中之一第二選路位址。該第二選路位址為該埠掃描之一來源的一實際選路位址。來自該第二選路位址之所有網路訊務可接著受到阻斷以防止對任何開放之埠的一攻擊。在一實施例中，該第一選路位址為一第一網際網路協定位址，且該第二選路位址為一第二網際網路協定位址。

該用於該用以傳輸資料封包之協定的該經修改之標頭可包括一不正確的序號。不正確的序號為一在序號之一可接受之範圍外的序號或一引發一來自該答覆資料封包之該接收者之回應的協定。在另一實施例中，該經修改之標頭可包括一重設旗標或一結束旗標。在另一實施例中，藉由更改一用以產生該經修改之答覆資料封包之總和檢查碼來產生該經修改之標頭。

本發明之新穎特徵之信賴特性闡述於隨附申請專利範圍中。然而，當結合附圖閱讀時，藉由參考說明性實施例之以下詳細描述，將最佳地理解本發明自身、以及其較佳使用模式、其他目標及優勢。

現參看該等圖，且特定言之，參看圖1至圖2，提供可實施說明性實施例之資料處理環境之例示性圖。應瞭解，圖1至圖2僅為例示性的且並不意欲確定或暗示關於可實施不同實施例之環境之任何限制。可進行對所描繪之實施例之許多修改。

現參看該等圖，圖1描繪可實施說明性實施例之資料處理系統之網路的圖示表示。網路資料處理系統100為可實施實施例之電腦之網路。網路資料處理系統100含有網路102，其為用以提供在網路資料處理系統100內連接在一起的各種器件與電腦之間的通信鏈路之媒體。網路102可包括諸如導線、無線通信鏈路或光纖電纜線之連接。

在所描繪之實例中，伺服器104及伺服器106與儲存單元 108一起連接至網路102。此外，用戶端110、112及114連接至網路102。舉例而言，此等用戶端110、112及114可為個人電腦或網路電腦。在所描繪之實例中，伺服器104將諸如啟動檔案、作業系統影像及應用程式之資料提供至用戶端110、112及114。在此實例中，用戶端110、112及114為伺服器104之用戶端。網路資料處理系統100可包括未圖示之額外伺服器、用戶端及其他器件。

藉由連接至伺服器106上與所要應用程式或服務相關聯的埠，諸如用戶端110之計算器件可執行在網路102上可利用之不同計算器件(諸如，伺服器106)上可利用之應用程式或其他服務。應用程式為使用計算器件之資源來為使用者執行任務或服務之電腦軟體。

埠為網路102中之用戶端110與伺服器106之間的邏輯連接之端點。埠通常由埠號來加以識別。埠號範圍為0至65,536。埠號由網際網路賦值主管當局(IANA)指派。網際網路賦值主管當局由網際網路名稱與號碼指派機構(ICANN)運營。

伺服器104或106上可利用之每一應用程式與不同埠號相關聯。一些埠號係基於與給定埠相關聯之應用程式或服務的類型來預指派。此等預指派或標準埠號被稱作熟知埠。存在保留或預指派給特定服務或應用程式之約1,024個熟知埠號。舉例而言，熟知埠號包括(但不限於)用於超文字傳送協定(HTTP)訊務之埠80、用於Telnet之埠23、用於簡單郵件傳送協定(SMTP)之埠25、用於網域名稱伺服器 (DNS)之埠53及用於網際網路中繼聊天(IRC)之埠194。因此，任一伺服器上被指定用於超文字傳送協定訊務之任一埠將通常具有所指派之埠號80。

藉由發送指定與特定應用程式相關聯之埠號的連接請求，用戶端110可存取伺服器104或106上之特定應用程式。

在所描繪之實例中，網路資料處理系統100為網際網路，其中網路102表示在世界範圍內之網路及閘道器集合，該等網路及閘道器使用傳輸控制協定/網際網路協定(TCP/IP)協定套件以相互通信。網際網路之中心處為在主要節點或主機電腦之間的由投送(route)資料及訊息之成千上萬的商用、政府、教育及其他電腦系統組成之高速資料通信線路的骨幹。當然，亦可將網路資料處理系統100實施為許多不同類型之網路，諸如，企業內部網路、區域網路(LAN)或廣域網路(WAN)。圖1意欲作為實例，而非作為不同實施例之架構限制。

現參看圖2，其展示可實施說明性實施例之資料處理系統之方塊圖。資料處理系統200為可針對說明性實施例而定位實施過程之電腦可用程式碼或指令之電腦(諸如，在圖1中之伺服器106或用戶端110)的實例。

在所描繪之實例中，資料處理系統200使用一集線器架構，其包括一北橋及記憶體控制器集線器(MCH)202及一南橋及輸入/輸出(I/O)控制器集線器(ICH)204。處理單元206、主記憶體208及圖形處理器210耦接至北橋及記憶體控制器集線器202。處理單元206可含有一或多個處理器且甚至可使用一或多個異質處理器系統來實施。舉例而言，圖形處理器210可經由加速圖形埠(AGP)而耦接至MCH。

在所描繪之實例中，區域網路(LAN)配接器212耦接至南橋及I/O控制器集線器204，且音訊配接器216、鍵盤及滑鼠配接器220、數據機222、唯讀記憶體(ROM)224、通用串列匯流排(USB)埠及其他通信埠232以及PCI/PCIe器件234經由匯流排238而耦接至南橋及I/O控制器集線器204，且硬碟機(HDD)226及CD－ROM光碟機230經由匯流排240耦接至南橋及I/O控制器集線器204。舉例而言，PCI/PCIe器件可包括乙太網路配接器、插卡(add－in card)及用於筆記型電腦之PC卡。PCI使用卡匯流排控制器，而PCIe不使用卡匯流排控制器。舉例而言，ROM 224可為快閃二進位輸入/輸出系統(BIOS)。舉例而言，硬碟機226及CD－ROM光碟機230可使用整合式驅動電子器件(IDE)或串列進階技術附件(SATA)介面。超I/O(SIO)器件236可耦接至南橋及I/O控制器集線器204。

作業系統在處理單元206上執行且協調並提供在圖2中之資料處理系統200內的各種組件之控制。該作業系統可為市售之作業系統，諸如，MicrosoftWindowsXP(Microsoft及Windows為Microsoft Corporation在美國、其他國家或兩者中的商標)。物件導向式程式設計系統(諸如，Java^TM 程式設計系統)可結合該作業系統而執行，且自在資料處理系統200上執行之Java程式或應用程式提供對作業系統之呼叫。Java及所有含Java之商標為Sun Microsystems,Inc.在美國、其他國家或兩者中的商標。

用於作業系統、物件導向式程式設計系統及應用程式或程式之指令位於諸如硬碟機226之儲存器件上，且可被載入至主記憶體208內用於由處理單元206執行。該等說明性實施例之過程可由處理單元206使用電腦實施指令來執行，該等電腦實施指令可位於諸如主記憶體208、唯讀記憶體224之記憶體中或一或多個周邊器件中。

圖1至圖2中之硬體可取決於實施而變化。除了圖1至圖2中所描繪之硬體之外或代替圖1至圖2中所描繪之硬體，可使用其他內部硬體或周邊器件，諸如，快閃記憶體、等效非揮發性記憶體或光碟機及其類似物。同樣，該等說明性實施例之過程可適用於多處理器資料作業系統。

在一些說明性實例中，資料處理系統200可為個人數位助理(PDA)，其通常組態有快閃記憶體以提供用於儲存作業系統檔案及/或使用者產生之資料的非揮發性記憶體。匯流排系統可包含一或多個匯流排，諸如，系統匯流排、I/O匯流排及PCI匯流排。當然，可使用任一類型之通信構造或架構來實施匯流排系統，該任一類型之通信構造或架構提供資料在附著至該構造或架構之不同組件或器件之間的傳送。通信單元可包括用以傳輸及接收資料之一或多個器件，諸如，數據機或網路配接器。舉例而言，記憶體可為主記憶體208或諸如在北橋及記憶體控制器集線器202中發現之快取記憶體的快取記憶體。處理單元可包括一或多個處理器或CPU。圖1至圖2中的所描繪之實例及上述實例並不意謂暗示架構限制。舉例而言，除了採用PDA形式之外，資料處理系統200亦可為平板電腦(tablet computer)、膝上型電腦或電話器件。

傳輸控制協定/網際網路協定(TCP/IP)為用以連接網路(諸如，圖1中之網路102)上之計算器件的通信協定套件。傳輸控制協定及網際網路協定為用於在網路(諸如，網際網路)上傳輸資料之標準協定。

現轉至圖3，展示根據說明性實施例之開放系統互連(OSI)基本參考模型之方塊圖。開放系統互連參考模型300為用於界定網路器件之間的互用性及通信的標準協定層之通用模型。在此實例中，開放系統互連參考模型300包括傳輸控制協定/網際網路協定(TCP/IP)套件。

TCP/IP及類似協定係由開放系統互連通信架構利用。在此實例中，架構包括應用層302、呈現層304、會期層306、傳送層308、網路層310、資料鏈路層312及實體層314。每一層負責處置各種功能及/或通信任務。

應用層302處置正存取及/或執行的特定應用程式之細節。對於幾乎每一實施，皆存在許多共同的TCP/IP應用程式，包括：用於遠端登入之Telnet；檔案傳送協定(FTP)；用於電子郵件之簡單郵件傳送協定(SMTP)；及簡單網路管理協定(SNMP)。

由應用層302處置之應用軟體可包括任一數目之軟體應用程式，其經設計以對經由通信埠之資料起反應以提供使用者尋求的所要功能性。在此階層下之應用程式可包括有必要用來處置可由網際網路之使用者存取的資料、視訊、圖形、照片及/或文字之應用程式。

呈現層304包括一呈現協定及一呈現服務。呈現服務用以識別將使用之約定傳送語法。呈現協定使使用者能夠與呈現服務通信。

會期層306由一會期協定及一會期服務組成。會期服務將服務提供至使用者，包括(但不限於)建立會期服務使用者之間的連接、終止使用者之間的連接、執行會期層符記之使用的協商及使所傳輸之資料中之點同步以准許在出現錯誤或中斷時恢復會期。會期協定允許使用者與會期服務通信。

接著，傳送層308在網路層310與促進兩個主機電腦之間的資料之傳送之應用層302之間提供介面。傳送層308與諸如(但不限於)以下事物的事物有關：針對下方網路層將自應用層傳遞至其之資料劃分成經適當定大小之塊(chunk)；應答所接收之封包；及設定逾時以確定另一端應答所發送之封包。在TCP/IP協定套件中，存在兩個明顯不同之傳送協定：傳輸控制協定(TCP)及使用者資料包協定(UDP)。

傳輸控制協定提供可靠性服務(包括遺失偵測(dropout detection)及重新傳輸服務)以確保在兩個主機之間適當地傳輸資料。相反，使用者資料包協定藉由僅將被稱作資料包之相對簡單的資料封包自一主機發送至另一者而將簡單得多之服務提供至應用層302。在不提供用於保證資料包中之資料被適當傳送之任一機構的情況下傳輸資料包。當使用使用者資料包協定時，應用層302必須執行可靠性功能性。傳送層資料封包資訊之實例包括(但不限於)來源主機之埠號及/或目的地主機之埠號。

網路層310(其亦可被稱作網際網路層)處置資料封包遍及網路之移動。舉例而言，網路層310處置在網路上傳送之各種資料封包之投送。TCP/IP套件中之網路層310包含若干協定，包括：網際網路協定(IP)、網際網路控制訊息協定(ICMP)及網際網路群組管理協定(IGMP)。網際網路協定(IP)可包括(但不限於)第4版網際網路協定(IPv4)、第6版網際網路協定(IPv6)或任一其他已知或可利用之版本的網際網路協定。網路層資料封包資訊之實例可包括(但不限於)網際網路協定(IP)位址，其識別來源主機IP位址及/或目的地主機IP位址。

資料鏈路層312亦可被稱作鏈路層或網路介面層，且通常在作業系統中包括器件驅動程式且在電腦中包括對應的網路介面卡。資料鏈路層312通常處置與實體層314實體介面連接之所有硬體細節，諸如(但不限於)，乙太網路介面卡及/或無線網際網路配接器。資料鏈路層資料封包資訊之實例可包括(但不限於)媒體存取控制(MAC)位址。

實體層314指正使用之網路媒體，諸如，光纜或乙太網路電纜線。換言之，實體層314為將計算器件(諸如，圖1中之用戶端110)連接至網路(諸如，圖1中之網路102)之實體網路電纜線。

說明性實施例之機構可較具體地實施於諸如傳送層308及/或網路層310的層中。

圖4為說明當前使用之埠掃描保護機構之方塊圖。網路資料處理系統400為包括連接至網路的兩個或兩個以上計算器件之資料處理系統，諸如，圖1中之網路資料處理系統100。在此實例中，網路為網際網路。然而，網路亦可包括區域網路、廣域網路、乙太網路或任一其他類型之網路。網路資料處理系統400包括惡意主機402及犧牲者404。

惡意主機402為計算器件(諸如，圖1中之用戶端110)上之駭客或其他未授權之使用者，其執行犧牲者404之埠掃描。換言之，惡意主機402正試圖定位犧牲者404中之易受攻擊的開放之存取點，使得惡意主機402可獲得對犧牲者404之未授權的存取及/或經由開放之埠而對犧牲者404發動攻擊。惡意主機402正執行犧牲者404之埠掃描以定位易受攻擊的開放之存取點以用於在對犧牲者404發動攻擊之過程中加以使用。

犧牲者404為代管(host)一或多個應用程式及/或服務之計算器件。惡意主機402連接至網路，諸如，圖1中之網路102。用戶端計算器件可藉由請求經由網路連接而對與給定應用程式或服務相關聯之埠進行之連接來存取在犧牲者404上可利用之應用程式及/或服務。

犧牲者404包括埠掃描保護405。埠掃描保護405為用於偵測埠掃描且阻斷惡意主機402之來源IP位址之任一當前可利用之埠掃描保護軟體。埠掃描保護405藉以工作之通用方法為藉由監視一組關閉之埠，該等關閉之埠並不正由犧牲者404使用，但可由駭客用於非法利用，此係歸因於與應用程式(其與埠相關聯)相關聯之易受攻擊性。埠掃描保護405假定合法使用者將不試圖存取該組關閉之埠中的埠，因為合法使用者將知曉犧牲者404並不提供與該組關閉之埠相關聯的應用程式或服務。僅惡意主機(諸如，惡意主機402)將試圖連接至該組關閉之埠中的埠，因為其正搜尋在該等埠上收聽的易受攻擊之服務。

若埠掃描保護405偵測到請求對該組關閉之埠中的埠之連接之資料封包(諸如，同步(SYN)資料封包或來自特定遠端主機之此等資料封包之樣式)，則埠掃描保護405將避開或阻斷來自特定遠端主機之所有訊務。以此方式，即使遠端主機偵測到易受攻擊的開放之埠，該遠端主機亦將不能夠發動攻擊，因為來自該遠端主機之所有未來網路訊務被阻斷。

在此實例中，惡意主機402藉由將請求對犧牲者404上之一或多個熟知埠之連接的一連串資料封包發送至犧牲者404來執行埠掃描。資料封包406為由惡意主機402發送的該連串資料封包中之一者。

資料封包406為傳輸控制協定/網際網路協定(TCP/IP)資料封包，其含有連接至犧牲者404上被識別為埠"n"之埠的請求。在此實例中，資料封包406為請求對埠"n"之連接之傳輸控制協定同步(TCP SYN)訊息。埠"n"可為任一埠號，諸如，與超文字傳送協定訊務相關聯之埠80。

在此實例中，資料封包406包括偽或假來源IP位址。來源IP位址為識別資料封包之發送者的IP位址。偽來源IP位址為識別附帶之犧牲者408而非資料封包406之實際發送者之IP位址。附帶之犧牲者408可為實際計算器件或附帶之犧牲者408可實際上不存在。換言之，由惡意主機402使用的偽IP位址不必識別實際計算器件。在此實例中，資料封包406包括與附帶之犧牲者408相關聯之來源IP位址"A"而非IP位址"B"，IP位址"B"為惡意主機402之實際IP位址。

回應於接收到資料封包406，犧牲者404將資料封包410發送至附帶之犧牲者408。資料封包410為指示埠"x"為開放之埠還是關閉之埠的傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包410為同步應答(SYN/ACK)訊息。資料封包410正被發送至與附帶之犧牲者408相關聯之目的地IP位址"A"。因此，在自犧牲者404至附帶之犧牲者408之訊息傳輸之一般過程中，惡意主機402將不會接收到資料封包410。

因為惡意主機402並非為資料封包410之預定接收者，所以惡意主機402窺探412來自網路之資料封包410。窺探指捕獲或檢視意欲發送至不同目的地計算器件之資料封包。在此實例中，惡意主機402使用封包偵查程式(packet sniffer)來窺探意欲由附帶之犧牲者408接收之資料封包410。封包偵查程式為捕獲在網路上傳輸之資料封包而不管惡意主機並非該資料封包之預定接收者之事實的應用程式。

因此，惡意主機402被通知埠"x"是否為可能易於受到攻擊之開放之埠。若埠"x"為開放之埠，則惡意主機402發動對犧牲者404之攻擊414。

犧牲者404具有當前埠掃描保護軟體。當前埠掃描保護允許犧牲者404將資料封包406辨認為來自駭客(諸如，惡意主機402)之可能的埠掃描。當前埠掃描保護軟體使犧牲者404能夠阻斷來自在可疑之埠掃描中識別之來源IP位址的後續訊息(諸如，資料封包406)。然而，因為資料封包406中之來源IP位址為偽IP位址，所以犧牲者404將不阻斷來自惡意主機402之訊息，諸如，與攻擊414相關聯之來自惡意主機402之訊息。以此方式，惡意主機402可能夠繞過當前埠掃描保護軟體以攻擊及可能停用或危害犧牲者404。

因此，在此實例中，惡意主機402為埠掃描器，其正試圖藉由將TCP SYN封包(諸如，資料封包406)發送至犧牲者404上之給定埠來連接至易受攻擊之埠。由惡意主機402產生之資料封包406包括可能存在或可能不存在的附帶之犧牲者之偽來源IP位址。若存在該給定埠上收聽的程式或應用程式，則犧牲者404藉由將TCP SYN/ACK封包(諸如，資料封包410)發送至附帶之犧牲者來回應。

惡意主機402監視網路且查看經過之資料封包410。惡意主機402判定給定埠為可連接至的以非法利用在與給定埠相關聯之應用程式中之任何現有易受攻擊性的開放之埠。惡意主機402可基於指派給每一埠的熟知埠號來判定哪一應用程式與給定埠相關聯。

犧牲者404上之埠掃描保護405藉由阻斷附帶之犧牲者408之偽來源IP位址"A"來回應偽封包。惡意主機402自由地將適當駭客工具用於此特定埠及與該特定埠相關聯之易受攻擊之應用程式而將攻擊414發送至犧牲者404上之給定埠。

說明性實施例認識到，在當前埠掃描保護軟體使用在埠掃描期間自駭客接收之偽來源IP位址來對偽資料封包回應時，埠掃描保護軟體藉由阻斷附帶之犧牲者之偽來源IP位址而非真正惡意主機之實際IP位址來回應。當前埠掃描保護軟體不能識別並阻斷真正來源IP位址，在該狀況下，偽來源IP位址係由惡意主機提供。因此，說明性實施例認識到對將在偵測到埠掃描後儘可能快地避開實際上正發動攻擊之主機IP位址的增強之埠掃描保護軟體的需要。

因此，說明性實施例提供一種用於埠掃描保護之電腦實施方法、裝置及電腦可用程式碼。在一實施例中，回應於偵測到一埠掃描，過程產生一具有一用於一用以傳輸資料封包之協定的經修改之標頭之答覆資料封包以形成一經修改之答覆資料封包。

在以下描述之說明性實施例中，該用於該用以傳輸資料封包之協定的經修改之標頭為經修改之傳輸控制協定標頭。然而，該等說明性實施例不限於修改傳輸控制協定中之標頭。該等說明性實施例可修改用於在網路連接上傳輸資料封包的任一類型之已知或可利用之協定(包括(但不限於)傳輸控制協定或使用者資料包協定(UDP))中的標頭以形成經修改之答覆資料封包。

該經修改之答覆資料封包將引發一來自該經修改之資料封包之一接收者之回應。該過程將該答覆資料封包發送至一與該埠掃描相關聯之第一選路位址。回應於接收到對該經修改之答覆資料封包之一回應，該過程識別回應資料封包之一標頭中之一第二選路位址。在以下描述之實例中，該第一選路位址為一第一網際網路協定位址，且該第二選路位址為一第二網際網路協定位址。網際網路協定可為任一版本之網際網路協定，包括(但不限於)第4版網際網路協定(IPv4)、第6版網際網路協定(IPv6)或任一其他版本之網際網路協定。此外，說明性實施例不限於網際網路協定。根據該等說明性實施例，可使用用於提供一或多個埠之選路位址的任一類型之已知或可利用之協定。

該第二選路位址為該埠掃描之一來源的一實際選路位址。來自該第二選路位址之所有網路訊務可接著受到阻斷以防止對任何開放之埠的一攻擊。

現轉至圖5，展示說明根據說明性實施例之經由用於偵測具有偽來源IP位址之埠掃描之埠掃描保護系統的流程之方塊圖。可使用任一類型之計算器件(包括但不限於，圖1中之伺服器106或用戶端110)來實施電腦500。

電腦500包括應用程式集合502。應用程式集合502為在電腦500上可利用的一或多個應用程式及/或服務之集合。應用程式為使用計算器件之資源來為使用者執行任務或服務之電腦軟體。

應用程式集合502可儲存於資料儲存器件(諸如，資料儲存器件504)上。資料儲存器件504為用於儲存資料的任一類型之已知或可利用之器件，包括(但不限於)主記憶體、資料庫、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、非揮發性隨機存取記憶體(NV－RAM)、硬碟、快閃記憶體、軟碟、可重寫之緊密光碟(CD－RW)或任一其他類型之資料儲存器件。在此實例中，資料儲存器件504位於電腦500上或定位於電腦500本端。然而，資料儲存器件504亦可定位於電腦500遠端。

電腦500使用傳輸控制協定/網際網路協定(TCP/IP)506來傳輸及接收來自連接至一網路(諸如，圖1中之網路102)的其他計算器件之訊息。TCP/IP 506為用於提供發送者與接收者之間的連接之標準協定套件。TCP/IP 506可提供保證之輸送，且確保按正確序列接收封包。換言之，當將訊息自另一計算器件發送至電腦500時，可不按次序接收該等訊息。因此，TCP/IP 506使用傳輸控制協定(TCP)序號來確保按正確次序將訊息輸送至應用層。

TCP/IP 506將序號給予由TCP/IP 506發送之每一訊息，使得訊息之接收者可判定該等訊息之正確次序。當建立電腦500與第二計算器件之間的連接時，在電腦500與第二計算器件之間交換初始序號(ISN)。若序列外號碼處於特定界限或限制內，則TCP/IP 506允許接收具有序列外之序號之訊息。然而，若序號在序號之預期範圍外過遠，則訊息將被忽視或識別為不正確的訊息。在此等狀況下，電腦500可請求第二電腦重新發送具有不正確的序號之訊息。

TCP/IP 506包括埠508及埠510。在此實例中，電腦500被描繪為具有兩個埠。然而，電腦500可具有任一數目之埠。

埠508具有所指派之埠號且與應用程式集合502中之應用程式相關聯。舉例而言，若埠508與用於處置超文字傳送協定訊務之應用程式相關聯，則埠508將被指派埠號80。在此實例中，埠508為開放之埠。

埠510亦被指派埠號。在此實例中，埠510為用於檔案傳送協定(FTP)之所指派之埠號20。然而，在此實例中，檔案傳送協定在電腦500上不可利用。因此，埠510為關閉之埠。

電腦500亦包括增強之埠掃描保護512。增強之埠掃描保護512為用於偵測埠掃描且阻斷與惡意主機或執行埠掃描之其他計算器件(諸如，惡意主機516)相關聯之IP位址的埠掃描保護軟體。

惡意主機516為對與電腦500相關聯之一或多個埠(諸如，埠508及510)執行埠掃描之駭客、竊賊、未授權之使用者或非法使用者。惡意主機516包括用於在網路上發送及接收資料封包之TCP/IP 518協定套件。惡意主機516在此網路連接上連接至電腦500。

惡意主機516包括埠掃描器520。埠掃描器520可為用於執行電腦500上之一或多個埠之集合的埠掃描之任一類型之已知或可利用之器件。埠掃描器520可完全實施於軟體中或作為硬體與軟體之組合而實施。在此實例中，埠掃描器520產生埠掃描資料封包522。埠掃描資料封包522包括偽來源IP位址524。偽來源IP位址524並非與惡意主機516相關聯之IP位址。偽來源IP位址524可為除惡意主機516外之實際計算器件之IP位址，或偽來源IP位址524可為並不實際存在的計算器件之IP位址。

增強之埠掃描保護512包括來源IP位址偵測514。來源IP位址偵測514為用於產生答覆資料封包526之軟體組件。答覆資料封包526為經修改以強迫惡意主機516上之TCP/IP518產生回應528之資料封包。換言之，若增強之埠掃描保護512偵測到一埠掃描，則增強之埠掃描保護512藉由將答覆資料封包526發送至惡意主機516來回應，該答覆資料封包526將使惡意主機516發送回應528。在回應528之傳輸控制協定標頭中，回應528可包括重設(RST)旗標或結束應答(FIN/ACK)旗標。在此實例中，在回應528之傳輸控制協定標頭之網路層中，回應528亦包括惡意主機之真實IP位址530。

電腦500可自回應528識別惡意主機之真實IP位址530。增強之埠掃描保護512接著避開或阻斷惡意主機516之實際IP位址530以防止來自惡意主機516之任何未來攻擊。

接著，圖6為說明根據說明性實施例之埠掃描保護機構之方塊圖。網路資料處理系統600為包括連接於網路上的多個計算器件之資料處理系統，諸如，圖1中之網路資料處理系統100。在此實例中，網路為網際網路。然而，網路亦可包括區域網路、廣域網路、乙太網路或任一其他類型之網路。網路資料處理系統600包括惡意主機602及犧牲者604。

惡意主機602為計算器件(諸如，圖1中之用戶端110或圖5中之惡意主機516)上的駭客或其他未授權之使用者。惡意主機602正對犧牲者604執行未授權之埠掃描，以試圖定位易受攻擊的開放之存取點以使得惡意主機602可經由開放之埠能夠對犧牲者604進行未授權的存取及/或對犧牲者604發動攻擊。

犧牲者604為代管一或多個應用程式及/或服務之計算器件，諸如，圖1中之伺服器106或圖5中之電腦500。藉由請求經由網路連接而對與給定應用程式或服務相關聯之埠進行之連接，用戶端計算器件可存取在犧牲者604上可利用之應用程式及/或服務。

犧牲者604包括增強之埠掃描保護605(其包括來源IP位址偵測軟體)，諸如，圖5中之增強之埠掃描保護512。增強之埠掃描保護605為用於在當惡意主機602藉由使用偽來源IP位址來發送資料封包606而發動埠掃描時識別惡意主機602之IP位址且阻斷惡意主機602之IP位址而非阻斷由惡意主機602使用之偽來源IP位址過程中使用的軟體。

惡意主機602藉由將請求對犧牲者604上之一或多個熟知埠之連接的一連串資料封包發送至犧牲者604來執行埠掃描。資料封包606為由惡意主機602發送至犧牲者604上之埠的該連串之資料封包中之一者，諸如，圖5中之埠掃描資料封包522。

資料封包606為請求對犧牲者604上識別為埠"n"的埠之連接之傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包606為傳輸控制協定同步(TCP SYN)資料封包。埠"n"可為任一埠號，諸如，與超文字傳送協定訊務相關聯之埠80。

資料封包606包括附帶之犧牲者之偽或假來源IP位址。附帶之犧牲者可能實際存在或可能不實際存在。在此實例中，資料封包606包括與一附帶之犧牲者相關聯之來源IP位址"A"而非IP位址"B"，該IP位址"B"為惡意主機602之實際IP位址。

回應於接收到資料封包606，增強之埠掃描保護605產生資料封包608。資料封包608為答覆資料封包，諸如，圖5中之答覆資料封包526。資料封包608經建立以使得該資料封包在惡意主機602窺探來自網路的資料封包608時將引發來自惡意主機602之回應。資料封包608之傳輸控制協定(TCP)標頭之標頭以在惡意主機602窺探來自網路之資料封包608時將哄騙惡意主機之TCP/IP層回應資料封包608之方式更改。

舉例而言，若增強之埠掃描保護605將不正確的序號給予資料封包608，則惡意主機602之TCP/IP層將藉由發送同步(SYN)旗標以試圖重新連接至犧牲者604來回應。不正確的序號為在可能之序號之預期或可接受之範圍外的序號。

結束(FIN)旗標指示會期之終結。當接收到包括結束旗標之資料封包時，回應地，TCP/IP自動發送結束應答。因此，若埠掃描保護605將結束旗標給予資料封包608，則惡意主機602之TCP/IP層將在傳至犧牲者604之回應訊息中自動發送結束應答(FIN/ACK)旗標。

因此，在此實例中，增強之埠掃描保護605將資料封包608發送至與偽來源IP位址相關聯之附帶之犧牲者。資料封包608為指示埠"n"為開放之埠還是關閉之埠的傳輸控制協定/網際網路協定資料封包。在此實例中，資料封包608含有同步應答(SYN/ACK)旗標及不正確的序號。犧牲者604將資料封包608發送至與附帶之犧牲者相關聯之偽IP位址"A"。

資料封包608之標頭中的資料鏈路層指示資料封包608之目的地的媒體存取控制(MAC)位址。媒體存取控制位址指定目的地計算器件之特定網路配接器。在此狀況下，媒體存取控制位址指定附帶之犧牲者之網路配接器。

通常，若惡意主機602並不在窺探模式下運作，則惡意主機602將不接收資料封包608，因為資料鏈路層媒體存取控制位址並不匹配與惡意主機602相關聯之網路配接器。然而，在此實例中，惡意主機602處於窺探模式下。因此，與惡意主機602相關聯之乙太網路驅動程式將忽略資料封包608之標頭中的媒體存取控制位址，且將資料封包608向上傳遞至與惡意主機602相關聯之TCP/IP層。

惡意主機602窺探來自網路之資料封包608。在此實例中，惡意主機602使用封包偵查程式來窺探來自網路之資料封包608。回應於偵測到資料封包608中之不正確的序號，惡意主機602之TCP/IP層自動產生對資料封包610之回應並將其傳輸至犧牲者604，以試圖重新連接至犧牲者604。資料封包610為回應資料封包，諸如，圖5中之回應528。

資料封包610含有惡意主機602之實際來源IP位址"B"，而非偽IP位址"A"。增強之埠掃描保護605阻斷實際來源IP位址"B"在網路上將其他訊息發送至犧牲者604。以此方式，阻斷惡意主機602發動對犧牲者604上之任何易受攻擊的埠之任何攻擊。

圖7為根據說明性實施例之在埠掃描期間傳輸之埠掃描封包的例示性說明。埠掃描資料封包702為具有由惡意主機產生之偽來源IP位址之資料封包，諸如，圖5中之埠掃描資料封包522及/或圖6中之資料封包606。在此實例中，埠掃描資料封包為同步(SYN)資料封包。

答覆資料封包703為由埠掃描資料封包702之接收者產生的資料封包，諸如，圖5中之答覆資料封包526及/或圖6中之資料封包608。接收者為惡意主機之預定犧牲者。答覆資料封包703由犧牲者產生且被發送至偽IP位址。在此實例中，答覆資料封包為由惡意主機之預定犧牲者(諸如，圖6中之犧牲者604)產生的同步應答(SYN/ACK)資料封包。

埠掃描資料封包702包括區段704中之資料鏈路層之資訊。自惡意主機至預定犧牲者的埠掃描資料封包之傳輸路線將基於選路表來指派乙太網路(ETH)媒體存取控制(MAC)位址。

埠掃描資料封包702亦包括網路層中之資訊。網路層資訊包括行705中之偽來源IP位址"A"。偽來源IP位址"A"為存在的或不存在的附帶之犧牲者之IP位址，而非產生埠掃描資料封包702之惡意主機之實際IP位址。資料封包中之網路層資訊亦包括識別犧牲者計算器件之目的地IP位址706。

埠掃描資料封包702中之傳送層資訊識別惡意駭客之來源埠號及犧牲者主機計算器件之目的地埠號，如行708中所示。行710為埠掃描封包之序號。行712將資料封包識別為請求與犧牲者計算器件之連接的同步(SYN)資料封包。

答覆資料封包703包括犧牲者之來源IP位址714及目的地IP位址716。目的地IP位址716為由惡意駭客使用的偽IP位址。

傳送層資訊包括產生答覆資料封包的犧牲者計算器件之來源埠號，如行714中所示。行716包括一目的地IP位址。此實例中之目的地IP位址為附帶之犧牲者之偽IP位址。附帶之犧牲者可能實際存在或可能不實際存在。

行722可提供不正確的序號。不正確的序號為可能之序號之預期或可接受之範圍外的序號。

行722指示答覆資料封包703為同步/應答(SYN/ACK)資料封包。在另一實例中，行722可指示答覆資料封包703為重設(RST)或結束(FIN)資料封包。

換言之，使用當前可利用之埠掃描保護軟體，若犧牲者具有埠23(其可在行708中加以識別)上之作用中服務，則該犧牲者將藉由產生SYN/ACK答覆資料封包來回應。此將為犧牲者上的埠23與惡意主機之埠1494之間的會期之終結。惡意主機將接著知曉犧牲者具有在埠23上執行之Telnet服務。惡意主機可接著對埠23發動Telnet攻擊。當前埠掃描保護軟體將阻斷在埠掃描封包之行705中識別的偽IP位址，但將不能夠阻斷惡意主機之實際IP位址。因此，惡意主機將自由攻擊埠23。

根據該等說明性實施例，當犧牲者接收到埠掃描資料封包702時，犧牲者上的增強之埠掃描保護軟體以強制實際惡意主機回應之此方式來回應。舉例而言，增強之埠掃描保護軟體產生包括不正確的序號、重設(RST)訊息或結束(FIN)訊息之答覆資料封包703。因為附帶的主機從不發送埠掃描資料封包702，所以附帶的主機將不回應答覆資料封包703。實情為，若附帶的主機實際存在，則該附帶的主機將僅忽略答覆資料封包703。若附帶的主機不存在，則該附帶的主機不可回應答覆資料封包703。因此，僅期望惡意主機回應答覆資料封包703。以此方式，犧牲者可識別並阻斷使用埠掃描來識別可易於受到由惡意主機進行之攻擊的開放之埠的惡意主機之實際IP位址。

現參看圖8，描繪說明根據說明性實施例之用於偵測具有偽來源IP位址之埠掃描之過程的流程圖。在圖8中展示之此說明性實例中，過程由埠掃描保護(諸如，圖5中之增強之埠掃描保護512)之軟體組件執行。

過程開始於作出是否偵測到埠掃描之判定(步驟802)。若未偵測到埠掃描，則過程返回至步驟802，直至偵測到埠掃描為止。當自惡意主機接收到埠掃描資料封包或一連串資料封包時，可偵測到埠掃描。

若在步驟802中偵測到埠掃描，則過程產生經修改之答覆資料封包(步驟804)。該過程將經修改之答覆資料封包發送至在埠掃描資料封包中識別之來源IP位址(步驟806)。在此實例中，來源IP位址為並非進行埠掃描之主機的正確IP位址之偽來源IP位址。

過程接著作出是否接收到對答覆之回應的判定(步驟808)。若未接收到回應，則過程返回至步驟808，直至接收到回應為止。當在步驟808中接收到回應時，過程阻斷來自在回應之傳輸控制協定標頭中識別的第二IP位址之所有網路訊務(步驟810)以防止可能自埠掃描之來源發動的任何攻擊，此後，過程終止。

圖9為說明根據說明性實施例之用於修改答覆資料封包之過程的流程圖。在圖9中之此實例中，過程可由埠掃描保護(諸如，圖5中之增強之埠掃描保護512)之軟體組件實施。

過程開始於產生答覆資料封包(步驟902)。過程作出是否藉由將不正確的序號添加至答覆資料封包之傳輸控制協定標頭來修改答覆資料封包之判定(步驟904)。若作出藉由添加不正確的序號來修改答覆資料封包之判定，則過程將不正確的序號添加至答覆資料封包之標頭(步驟906)且將經修改之答覆資料封包傳輸至附帶之犧牲者(步驟908)，此後，過程終止。

返回至步驟904，若作出將不添加不正確的序號之判定，則該過程作出是否將重設旗標或結束旗標添加至答覆資料封包之判定(步驟910)。若該過程作出將不添加旗標之判定，則過程此後終止。

返回至步驟910，若該過程作出藉由添加重設旗標或結束旗標來修改答覆資料封包之判定，則該過程添加重設旗標或結束旗標(步驟912)至答覆資料封包。過程接著將經修改之答覆資料封包發送至附帶之犧牲者(步驟908)，此後，過程終止。

因此，說明性實施例提供一種用於埠掃描保護之電腦實施方法、裝置及電腦可用程式碼。在一實施例中，回應於偵測到一埠掃描，過程產生一具有一經修改之傳輸控制協定標頭之答覆資料封包以形成一經修改之答覆資料封包。該經修改之答覆資料封包將引發來自該經修改之資料封包之一接收者之一回應。該過程將該答覆資料封包發送至一與該埠掃描相關聯之第一網際網路協定位址。

回應於接收到對該經修改之答覆資料封包之一回應，該過程識別回應資料封包之一標頭中之一第二網際網路協定位址。該第二網際網路協定位址為該埠掃描之一來源的一實際網際網路協定位址。來自該第二網際網路協定位址之所有網路訊務可接著受到阻斷以防止對任何開放之埠的攻擊。

經修改之傳輸控制協定標頭可包括一不正確的序號。不正確的序號為在序號之可接受之範圍外的序號。在另一實施例中，該經修改之傳輸控制協定標頭可包括一重設旗標或一結束旗標。在另一實施例中，藉由更改一用以產生該經修改之答覆資料封包之總和檢查碼來產生該經修改之傳輸控制協定。

以此方式，可防止由駭客使用偽IP位址進行的對開放且潛在易受攻擊的埠之攻擊。

該等圖中之流程圖及方塊圖說明根據各種實施例的系統、方法及電腦程式產品之可能實施之架構、功能性及操作。就此而言，流程圖或方塊圖中之每一步驟可表示模組、片段或程式碼之部分，其包含用於實施該或該等指定邏輯功能之一或多個可執行指令。亦應注意，在一些替代實施中，該等步驟中所述之功能可能不按圖中所述之次序發生。舉例而言，實際上可大體上同時執行連續展示之兩個步驟，或有時可取決於所涉及之功能性而以相反次序執行該等步驟。

本發明可採用完全硬體實施例、完全軟體實施例或含有硬體及軟體元件兩者之實施例的形式。在較佳實施例中，本發明實施於軟體中，軟體包括(但不限於)韌體、常駐軟體、微碼等。

此外，本發明可採用電腦程式產品之形式，該電腦程式產品可自提供由電腦或任一指令執行系統使用或與其結合使用之程式碼的電腦可用或電腦可讀媒體存取。出於此描述之目的，電腦可用或電腦可讀媒體可為任一有形裝置，其可含有、儲存、傳達、傳播或傳送用於由指令執行系統、裝置或器件使用或與其結合使用的程式。

媒體可為電子、磁性、光學、電磁、紅外線或半導體系統(或裝置或器件)或傳播媒體。電腦可讀媒體之實例包括半導體或固態記憶體、磁帶、抽取式電腦磁片、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬磁碟及光碟。光碟之當前實例包括緊密光碟－唯讀記憶體(CD－ROM)、緊密碟片－讀/寫(CD－R/W)及DVD。

適合於儲存及/或執行程式碼之資料處理系統將包括經由系統匯流排而直接或間接耦接至記憶體元件之至少一處理器。該等記憶體元件可包括在程式碼之實際執行期間使用之局部記憶體、大量儲存器及快取記憶體，快取記憶體提供至少一些程式碼之暫時儲存以便減少在執行期間必須自大量儲存器擷取程式碼之次數。

輸入/輸出或I/O器件(包括但不限於鍵盤、顯示器、指標器件等)可直接或經由介入之I/O控制器而耦接至系統。

經由介入之私用或公用網路，亦可將網路配接器耦接至系統，以使資料處理系統能夠變得耦接至其他資料處理系統或遠端印表機或儲存器件。數據機、電纜線數據機及乙太網路卡僅為當前可利用之類型之網路適配器中的少數幾種。

已出於說明及描述之目的而呈現本發明之描述，且其並不意欲為詳盡的或以所揭示之形式限於本發明。對於一般熟習此項技術者而言，許多修改及變化將顯而易見。選擇並描述實施例以便最佳地解釋本發明之原理、實際應用，且使一般熟習此項技術者能夠針對具有適合於預期特定用途之各種修改的各種實施例而理解本發明。

100‧‧‧網路資料處理系統

102‧‧‧網路

104‧‧‧伺服器

106‧‧‧伺服器

108‧‧‧儲存單元

110‧‧‧用戶端

112‧‧‧用戶端

114‧‧‧用戶端

200‧‧‧資料處理系統

202‧‧‧北橋及記憶體控制器集線器(MCH)

204‧‧‧南橋及輸入/輸出(I/O)控制器集線器(ICH)

206‧‧‧處理單元

208‧‧‧主記憶體

210‧‧‧圖形處理器

212‧‧‧區域網路(LAN)配接器

216‧‧‧音訊配接器

220‧‧‧鍵盤及滑鼠配接器

222‧‧‧數據機

224‧‧‧唯讀記憶體(ROM)

226‧‧‧硬碟機(HDD)

230‧‧‧CD－ROM光碟機

232‧‧‧通用串列匯流排(USB)埠及其他通信埠

234‧‧‧PCI/PCIe器件

236‧‧‧超I/O(SIO)器件

238‧‧‧匯流排

240‧‧‧匯流排

300‧‧‧開放系統互連參考模型

302‧‧‧應用層

304‧‧‧呈現層

306‧‧‧會期層

308‧‧‧傳送層

310‧‧‧網路層

312‧‧‧資料鏈路層

314‧‧‧實體層

400‧‧‧網路資料處理系統

402‧‧‧惡意主機

404‧‧‧犧牲者

405‧‧‧埠掃描保護

406‧‧‧資料封包

408‧‧‧附帶之犧牲者

410‧‧‧資料封包

412‧‧‧窺探

414‧‧‧攻擊

500‧‧‧電腦

502‧‧‧應用程式集合

504‧‧‧資料儲存器件

506‧‧‧TCP/IP

508‧‧‧埠

510‧‧‧埠

512‧‧‧增強之埠掃描保護

514‧‧‧來源IP位址偵測

516‧‧‧惡意主機

518‧‧‧TCP/IP

520‧‧‧埠掃描器

522‧‧‧埠掃描資料封包

524‧‧‧偽來源IP位址

526‧‧‧答覆資料封包

528‧‧‧回應

530‧‧‧真實IP位址

600‧‧‧資料處理系統

602‧‧‧惡意主機

604‧‧‧犧牲者

605‧‧‧增強之埠掃描保護

606‧‧‧資料封包

608‧‧‧資料封包

610‧‧‧資料封包

702‧‧‧埠掃描資料封包

703‧‧‧答覆資料封包

704‧‧‧區段

705‧‧‧行

706‧‧‧目的地IP位址

708‧‧‧行

710‧‧‧行

712‧‧‧行

714‧‧‧犧牲者之來源IP位址/行

716‧‧‧目的地IP位址/行

722‧‧‧行

圖1為可實施說明性實施例之資料處理系統之網路的圖示表示；圖2為可實施說明性實施例之資料處理系統之方塊圖；圖3為根據說明性實施例之開放系統互連(OSI)基本參考模型之方塊圖；圖4為說明當前使用之埠掃描保護機構之方塊圖；圖5為說明根據說明性實施例之經由用於偵測具有偽來源IP位址之埠掃描之埠掃描保護系統的流程之方塊圖；圖6為說明根據說明性實施例之埠掃描保護機構之方塊圖；圖7為根據說明性實施例之在埠掃描期間傳輸之埠掃描封包的例示性說明；圖8為說明根據說明性實施例之用於偵測具有偽來源IP位址之埠掃描之過程的流程圖；及圖9為說明根據說明性實施例之用於修改答覆資料封包之過程的流程圖。