以太網(wǎng)中網(wǎng)絡(luò)掃描原理與檢測

2.6 FTP代理間接掃描

　　FTP協(xié)議支持代理(proxy)FTP連接,攻擊者可以通過FTP server-PI(協(xié)議解釋器)使源主機(jī)和目標(biāo)主機(jī)建立控制通信連接。然后,請求該server-PI激活一個(gè)有效的server -DTP(即數(shù)據(jù)傳輸進(jìn)程)來給其他主機(jī)發(fā)送信息。因此,攻擊者可以用代理服務(wù)技術(shù)來掃描代理服務(wù)器所在網(wǎng)段主機(jī)的TCP端口。這樣,攻擊者就可以繞過防火墻,通過連接到防火墻內(nèi)部的一個(gè)FTP服務(wù)器進(jìn)行端口掃描。該方法的優(yōu)點(diǎn)是很難被跟蹤,能穿過防火墻;其缺點(diǎn)是速度很慢。

2.7 UDP不可達(dá)掃描

　　該方法與前述方法的不同之處在于使用的是UDP協(xié)議。UDP協(xié)議對數(shù)據(jù)包的請求不回應(yīng),打開的端口對掃描探測不發(fā)送確認(rèn),關(guān)閉的端口也不發(fā)送錯(cuò)誤數(shù)據(jù)包。但是許多主機(jī)在用戶向一個(gè)未打開的UDP端口發(fā)送數(shù)據(jù)包時(shí),會返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤信息。這樣攻擊者就能判斷哪些端口是關(guān)閉的。UDP包和ICMP錯(cuò)誤消息都不保證能到達(dá)。因此,在掃描時(shí)必須在探測包看似丟失時(shí)重傳。RFC793對ICMP錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定,因此,這種掃描方法很慢。

　　當(dāng)非管理員用戶不能直接讀取端口且不能到達(dá)錯(cuò)誤信息時(shí),Linux能間接地在它們到達(dá)時(shí)通知用戶,如對一個(gè)關(guān)閉的端口的第2個(gè)write()調(diào)用將失敗;在非阻塞的UDP套接字上調(diào)用recvfrom()時(shí),如果ICMP出錯(cuò)信息還沒有到達(dá),則返回EAGAIN(重試),否則返回ECONNREFUSED(連接被拒絕)。

3 網(wǎng)絡(luò)掃描檢測的實(shí)現(xiàn)

　　因?yàn)?a class="contentlabel" href="http://butianyuan.cn/news/listbylabel/label/網(wǎng)絡(luò)">網(wǎng)絡(luò)掃描首先需要對整個(gè)網(wǎng)絡(luò)掃描一遍,從而找到活動(dòng)主機(jī)(因?yàn)樵S多子網(wǎng)配置得很稀疏,所以大部分IP地址是空的),然后對每個(gè)活動(dòng)主機(jī)進(jìn)行窮盡式的端口掃描。因此可以設(shè)計(jì)一個(gè)網(wǎng)絡(luò)陷阱機(jī)來檢測網(wǎng)絡(luò)掃描。其原理與實(shí)現(xiàn)過程如下。

　　在網(wǎng)絡(luò)陷阱機(jī)上虛擬多個(gè)IP地址,這些地址與需重點(diǎn)保護(hù)的主機(jī)的IP地址相鄰,并且服務(wù)與開放端口及需重點(diǎn)保護(hù)的主機(jī)相同。網(wǎng)絡(luò)陷阱機(jī)與交換機(jī)或路由器的映射端口(span port)相連,這樣連接就能采集到流經(jīng)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)。

3.1 數(shù)據(jù)包過濾

　　數(shù)據(jù)包過濾的主要目的是縮減數(shù)據(jù)。為了防止丟包,包過濾只做簡單的基于包頭內(nèi)容的過濾(如IP地址、TCP/IP端口、TCP標(biāo)志位等),去除不關(guān)心的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)而只留下其報(bào)頭,并將其結(jié)果存入指定數(shù)據(jù)庫。經(jīng)過包過濾之后的網(wǎng)絡(luò)包數(shù)據(jù)量將大大減少。包過濾規(guī)則的BNF范式描述如下:

　　例如,在以下規(guī)則中:“{12,4}=={16,4}20”,表示若從第12字節(jié)偏移處開始的4個(gè)字節(jié)(源IP地址)等于從第16個(gè)字節(jié)偏移處開始的4個(gè)字節(jié)(目的IP地址),則將包的前20字節(jié)獲取過來,而拋棄包的其余內(nèi)容。利用此語法定義的過濾規(guī)則簡單且過濾條件基本上是簡單的比較運(yùn)算,適于計(jì)算機(jī)進(jìn)行高效快速地處理。

3.2 網(wǎng)絡(luò)掃描檢測

檢測程序?qū)χ付〝?shù)據(jù)庫文件進(jìn)行分析。當(dāng)源地址連續(xù)相同的IP請求連接記錄大于某一閥值時(shí),則認(rèn)為此地址的用戶可能在掃描網(wǎng)絡(luò),這時(shí)將此地址上報(bào)給執(zhí)行程序。執(zhí)行程序通過對可疑IP地址某一時(shí)間段內(nèi)的所有記錄進(jìn)行分析,來發(fā)現(xiàn)網(wǎng)絡(luò)掃描。例如若發(fā)現(xiàn)可疑IP對其他主機(jī)進(jìn)行了窮盡式的端口連接,則認(rèn)為該IP地址用戶在進(jìn)行網(wǎng)絡(luò)掃描。

但是隱蔽掃描的IP地址很可能是偽裝的,且掃描時(shí)間也可能不連續(xù),因此用上面的方法不一定能檢測到隱蔽掃描。

　　網(wǎng)絡(luò)掃描的目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中活動(dòng)主機(jī)并找出其安全漏洞,因此服務(wù)與端口開放較多的重點(diǎn)保護(hù)主機(jī)是掃描者的重點(diǎn)對象。檢測程序?qū)χ付〝?shù)據(jù)庫文件進(jìn)行分析,比較受保護(hù)主機(jī)的請求連接和網(wǎng)絡(luò)陷阱機(jī)與之相近IP地址的請求連接,如在某時(shí)間段內(nèi)的非常用連接相近,則認(rèn)為此地址的主機(jī)可能被掃描。將此地址上報(bào)給執(zhí)行程序,執(zhí)行程序?qū)梢芍鳈C(jī)IP地址某一時(shí)間段內(nèi)的所有記錄進(jìn)行分析,如發(fā)現(xiàn)有窮盡式的端口連接,則認(rèn)為該主機(jī)被網(wǎng)絡(luò)掃描。

4 結(jié)束語

　　網(wǎng)絡(luò)掃描是一把雙刃劍。網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)掃描能檢測網(wǎng)絡(luò)中主機(jī)存在的漏洞,從而查漏補(bǔ)缺,使得網(wǎng)絡(luò)運(yùn)行更為安全可靠。然而現(xiàn)在網(wǎng)絡(luò)掃描技術(shù)的發(fā)展,特別是黑客的積極參與使得網(wǎng)絡(luò)掃描技術(shù)成為一種危害網(wǎng)絡(luò)安全的行為。只有對網(wǎng)絡(luò)掃描進(jìn)行有效監(jiān)控,才能更有效地保護(hù)網(wǎng)絡(luò),將網(wǎng)絡(luò)優(yōu)勢發(fā)揮出來。