以太網中網絡掃描的原理與檢測方法

2.6 FTP代理間接掃描

　　FTP協議支持代理(proxy)FTP連接,攻擊者可以通過FTP server-PI(協議解釋器)使源主機和目標主機建立控制通信連接。然后,請求該server-PI激活一個有效的server -DTP(即數據傳輸進程)來給其他主機發送信息。因此,攻擊者可以用代理服務技術來掃描代理服務器所在網段主機的TCP端口。這樣,攻擊者就可以繞過防火墻,通過連接到防火墻內部的一個FTP服務器進行端口掃描。該方法的優點是很難被跟蹤,能穿過防火墻;其缺點是速度很慢。

2.7 UDP不可達掃描

　　該方法與前述方法的不同之處在于使用的是UDP協議。UDP協議對數據包的請求不回應,打開的端口對掃描探測不發送確認,關閉的端口也不發送錯誤數據包。但是許多主機在用戶向一個未打開的UDP端口發送數據包時,會返回一個ICMP_PORT_UNREACH錯誤信息。這樣攻擊者就能判斷哪些端口是關閉的。UDP包和ICMP錯誤消息都不保證能到達。因此,在掃描時必須在探測包看似丟失時重傳。RFC793對ICMP錯誤消息的產生速率做了規定,因此,這種掃描方法很慢。

　　當非管理員用戶不能直接讀取端口且不能到達錯誤信息時,Linux能間接地在它們到達時通知用戶,如對一個關閉的端口的第2個write()調用將失敗;在非阻塞的UDP套接字上調用recvfrom()時,如果ICMP出錯信息還沒有到達,則返回EAGAIN(重試),否則返回ECONNREFUSED(連接被拒絕)。

3 網絡掃描檢測的實現

　　因為網絡掃描首先需要對整個網絡掃描一遍,從而找到活動主機(因為許多子網配置得很稀疏,所以大部分IP地址是空的),然后對每個活動主機進行窮盡式的端口掃描。因此可以設計一個網絡陷阱機來檢測網絡掃描。其原理與實現過程如下。

　　在網絡陷阱機上虛擬多個IP地址,這些地址與需重點保護的主機的IP地址相鄰,并且服務與開放端口及需重點保護的主機相同。網絡陷阱機與交換機或路由器的映射端口(span port)相連,這樣連接就能采集到流經整個網絡的數據。

3.1 數據包過濾

　　數據包過濾的主要目的是縮減數據。為了防止丟包,包過濾只做簡單的基于包頭內容的過濾(如IP地址、TCP/IP端口、TCP標志位等),去除不關心的網絡數據包的數據而只留下其報頭,并將其結果存入指定數據庫。經過包過濾之后的網絡包數據量將大大減少。包過濾規則的BNF范式描述如下:

　　例如,在以下規則中:“{12,4}=={16,4}20”,表示若從第12字節偏移處開始的4個字節(源IP地址)等于從第16個字節偏移處開始的4個字節(目的IP地址),則將包的前20字節獲取過來,而拋棄包的其余內容。利用此語法定義的過濾規則簡單且過濾條件基本上是簡單的比較運算,適于計算機進行高效快速地處理。

3.2 網絡掃描檢測

檢測程序對指定數據庫文件進行分析。當源地址連續相同的IP請求連接記錄大于某一閥值時,則認為此地址的用戶可能在掃描網絡,這時將此地址上報給執行程序。執行程序通過對可疑IP地址某一時間段內的所有記錄進行分析,來發現網絡掃描。例如若發現可疑IP對其他主機進行了窮盡式的端口連接,則認為該IP地址用戶在進行網絡掃描。

但是隱蔽掃描的IP地址很可能是偽裝的,且掃描時間也可能不連續,因此用上面的方法不一定能檢測到隱蔽掃描。

　　網絡掃描的目的是要發現網絡中活動主機并找出其安全漏洞,因此服務與端口開放較多的重點保護主機是掃描者的重點對象。檢測程序對指定數據庫文件進行分析,比較受保護主機的請求連接和網絡陷阱機與之相近IP地址的請求連接,如在某時間段內的非常用連接相近,則認為此地址的主機可能被掃描。將此地址上報給執行程序,執行程序對可疑主機IP地址某一時間段內的所有記錄進行分析,如發現有窮盡式的端口連接,則認為該主機被網絡掃描。

4 結束語

　　網絡掃描是一把雙刃劍。網絡管理員通過網絡掃描能檢測網絡中主機存在的漏洞,從而查漏補缺,使得網絡運行更為安全可靠。然而現在網絡掃描技術的發展,特別是黑客的積極參與使得網絡掃描技術成為一種危害網絡安全的行為。只有對網絡掃描進行有效監控,才能更有效地保護網絡,將網絡優勢發揮出來。