本發(fā)明涉及計算機網(wǎng)絡安全領域，且公開了一種規(guī)避特征檢測的無狀態(tài)掃描方法，包括以下方法：S1：收集正常SYN數(shù)據(jù)包，按條提取頭部特征，按條存儲到頭部特征數(shù)據(jù)庫；S2：掃描器從頭部特征數(shù)據(jù)庫中隨機提出一條頭部特征數(shù)據(jù)，使用提出的頭部特征數(shù)據(jù)生成SYN掃描數(shù)據(jù)包；S3：掃描器將生成的SYN掃描數(shù)據(jù)包使用無狀態(tài)掃描方式發(fā)送給目標主機，等待目標主機的回應，該規(guī)避特征檢測的無狀態(tài)掃描方法，從正常的TCP連接過程中的SYN數(shù)據(jù)包中提取IP頭部和TCP頭部字段特征值。

技術領域

本發(fā)明涉及計算機網(wǎng)絡安全領域，具體為一種規(guī)避特征檢測的無狀態(tài)掃描方法。

背景技術

傳輸控制協(xié)議(TCP)是工作在傳輸層的面向連接的、可靠的、基于字節(jié)流的通信協(xié)議。建立TCP連接之前必須要通過三次握手。三次握手成功之后連接建立成功便可以進行數(shù)據(jù)傳輸。此時需要系統(tǒng)資源來維護當前連接。三次握手是建立TCP連接的前提，建立過程如下：客戶端向服務端發(fā)送SYN位＝1的SYN數(shù)據(jù)包，服務端接收后回復ACK位＝1，SYN位＝1的數(shù)據(jù)包，客戶端收到服務端發(fā)來的ACK位＝1，SYN位＝1的數(shù)據(jù)包后，客戶端回復ACK位＝1的數(shù)據(jù)包。以上客戶端和服務端就建立了可靠的TCP連接，兩者之間可以進行數(shù)據(jù)傳輸。當前的防火墻功能防護功能較為齊全，一般都可以從應用層、傳輸層、網(wǎng)絡層三層對數(shù)據(jù)包進行檢測，檢測其是否滿足過濾要求。無狀態(tài)掃描指的是不需要關系TCP的連接狀態(tài)，不需要系統(tǒng)資源來維護TCP連接，也不需要關心數(shù)據(jù)包是否達到。要做的就是將SYN掃描數(shù)據(jù)包發(fā)出去，然后再監(jiān)測目標的回包情況，根據(jù)目標端口是否返回ACK+SYN來判斷端口是否開放，現(xiàn)有的Nmap是一款優(yōu)秀的端口掃描工具，其內部集成了大量NSE腳本，可以使用多種掃描方式，已有工具Nmap可以實現(xiàn)全連接掃描、半連接掃描與秘密掃描等多種掃描技術掃描端口，但是Nmap在實際掃描過程中仍然需要少量的資源來維護TCP連接。Nmap發(fā)出的掃描數(shù)據(jù)包時其Win字段固定為1024，在使用過程中雖然使用了隨機的源端口，但是同一個掃描任務其源端固定不變，在傳輸層Options可選中也只有MSS值并且值一直是1460，網(wǎng)絡層中TTL值也是一個較為隨機的數(shù)字，而正常的數(shù)據(jù)包根據(jù)不同操作系統(tǒng)會有不一樣的TTL值：存在30、60、64、128、254等。Nmap掃描過程中數(shù)據(jù)包存在以上特征很可能防火墻等安全設備檢測為掃描

目前無狀態(tài)掃描的工具有ZMAP、MASSCAN，二者都不需要維護連接狀態(tài)，可以實現(xiàn)快速的掃描，ZMAP號稱可以45分鐘掃描整個網(wǎng)絡端口，更快的MASSCAN更是號稱6分鐘可以掃描IPV4所有端口，以上兩種工具使用無狀態(tài)掃描可以快速掃描，

但是二者創(chuàng)建的SYN掃描數(shù)據(jù)包都具有其特征，掃過過程中在關鍵的頭部字段總是保持不變。存在容易被安全設備攔截的問題。例如MASSCAN在傳輸層的Win字段值一直固定為1024，傳輸層中其Opitons選擇更是沒有等。ZMAP同樣存在固定的頭部特征。

以上掃描工具發(fā)出的SYN掃描數(shù)據(jù)包和正常的SYN掃描數(shù)據(jù)包仍然存在較大的區(qū)別，在針對防護設備較為齊全的目標進行掃描時，容易被安全設備識別出來，導致端口掃描失敗，要在對網(wǎng)絡目標端口進掃描時NAMP、ZMAP和MASSCAN發(fā)出的掃描數(shù)據(jù)包都有他們自己的特征，比如NAMP發(fā)出的數(shù)據(jù)包傳輸層頭部的win字段都是1024，Options字段只有一個MSS值，TTL值不恰當?shù)?，MASSCAN的數(shù)據(jù)包更加簡易，傳輸層頭部Win字段固定為1024，傳輸層Options字段更是沒有，以上掃描工具發(fā)出的數(shù)據(jù)包和真實的SYN數(shù)據(jù)包有較大的差別容易被防火墻檢測出，在建立TCP握手過程中各個不同的主機發(fā)出的正常的SYN數(shù)據(jù)包各個頭部字段具有較大的不確定性，相同的主機發(fā)出的SYN數(shù)據(jù)包各個頭部字段也具有較大不確定性。因此安全設備的攔截規(guī)則對正常的SYN數(shù)據(jù)包不起作用。而NAMP、ZMAP和MASSCAN，三者是機械性的發(fā)送SYN包，發(fā)包速度極快且每個包具有固定的頭部特征，很容易被防火墻等安全設備攔截，導致掃描數(shù)據(jù)包被攔截導致出現(xiàn)漏掃問題。由于ZMAP和MASSCAN都是發(fā)包極快的無狀態(tài)的掃描存在數(shù)據(jù)包丟失導致端口漏掃問題。為此我們提出了一種規(guī)避特征檢測的無狀態(tài)掃描方法。

發(fā)明內容