本申請公開了一種干擾網絡掃描器的方法及系統，涉及網絡攻擊與防御技術領域，干擾網絡掃描器的方法包括以下步驟：制備若干操作系統的應答數據包并保存，嗅探所有訪問者并接收訪問數據包。若訪問數據包為正常的流量訪問，響應于訪問數據包返回SYN/ACK的應答數據包，完成三次握手后與訪問者建立通信連接。若訪問數據包為掃描包，則發送除本機以外任意操作系統的應答數據包返回給網絡掃描器。有益效果在于當網絡掃描器訪問時，根據指定操作系統的回應方式自動響應特定的應答數據包，而網絡掃描器的算法是固定不變的，對于特定的應答數據包會生成特定的指紋，以此讓攻擊者的網絡掃描器誤判本操作系統為指定的操作系統。

技術領域

本申請屬于網絡攻擊與防御技術領域，更具體地說，本申請涉及一種干擾網絡掃描器的方法及系統。

背景技術

在網絡攻擊與防御領域，所有攻擊/安全測試的第一步，往往都是通過網絡掃描進行信息收集，而網絡掃描中重要的一環就是識別某個IP對應的操作系統。在識別出操作系統后，攻擊者/安全測試員才能夠通過該操作系統所具有的漏洞進行攻擊。因此，站在防御的角度，如果在掃描器檢測環節，將一個操作系統直接偽造成另一個操作系統，即可進行一定程度的防御。現有的掃描器操作系統識別功能，市面上利用范圍最廣的是開源工具nmap，其他網絡掃描工具大多數都是基于nmap掃描器二次開發完成的，其中的操作系統指紋識別功能甚至是直接復用nmap的功能。

nmap是一個網絡連接端掃描軟件，用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端，并且推斷計算機運行哪個操作系統，用于評估網絡系統安全。正如大多數被用于網絡安全的工具，nmap也是不少黑客及駭客愛用的工具。系統管理員可以利用nmap來探測工作環境中未經批準使用的服務器，但是黑客會利用nmap來搜集目標電腦的網絡設定，從而計劃攻擊的方法。目前對抗掃描的技術方案具有以下缺陷：只能選擇關閉或者開啟某些流量特性，這種方案的缺陷是偽造結果的不可控，即可以將操作系統掃描結果偽造成與原操作系統不同，但是不能定向偽造成指定的操作系統類型。

發明內容

本申請的目的在于提供一種干擾網絡掃描器的方法及系統，以解決上述現有技術中存在的針對網絡掃描器無法定向偽造指定的操作系統類型的技術問題。

為實現上述技術目的，本申請采用的技術方案如下：

一種干擾網絡掃描器的方法，包括以下步驟：

制備若干操作系統的應答數據包并保存，嗅探所有訪問者并接收所述訪問者的訪問數據包，對所述訪問數據包進行檢測并判斷所述訪問數據包的類型；

若所述訪問數據包為正常的流量訪問，響應于所述訪問數據包返回SYN/ACK的應答數據包，完成三次握手后與所述訪問者建立通信連接；

若所述訪問數據包為掃描包，則發送除本機以外任意操作系統的應答數據包返回給所述網絡掃描器。

優選地，還包括步驟：

設置至少兩個不同類型的操作系統，設置流量轉發接口，所述流量轉發接口用于接收所述訪問者的訪問數據包，對所述訪問數據包進行檢測并判斷所述訪問數據包的類型；

其中一個操作系統用于在本機中運行業務和調用流量轉發接口，其余操作系統用于制備操作系統的應答數據包并保存。

優選地，制備若干操作系統的應答數據包并保存，具體包括以下步驟：

模擬接收網絡掃描器發送的系統探測探針，響應于所述系統探測探針修改IP包頭和TCP包頭的數據內容，生成指定操作系統的應答數據包并保存。

優選地，嗅探所有訪問者并接收所述訪問者的訪問數據包，對所述訪問數據包進行檢測并判斷所述訪問數據包的類型，具體包括以下步驟：

設置raw_socket接口，通過raw_socket接口監控所有訪問者的訪問數據包；