本發(fā)明涉及計(jì)算機(jī)信息技術(shù)領(lǐng)域，具體涉及一種規(guī)避防火墻檢測(cè)的無(wú)狀態(tài)掃描方法。

背景技術(shù)：

TCP是可靠的面向連接的協(xié)議，一個(gè)完整的TCP會(huì)話每個(gè)過(guò)程都有不同的狀態(tài)。正是操作系統(tǒng)在底層已經(jīng)保存了這些狀態(tài)我們?cè)趹?yīng)用層使用起來(lái)才更方便可靠，但可靠的同時(shí)帶來(lái)的是資源占用。

無(wú)狀態(tài)掃描是指無(wú)需關(guān)心TCP狀態(tài)，不占用系統(tǒng)TCP/IP協(xié)議棧資源，忘記SYN、ACK、FIN、TIMEWAIT等狀態(tài)，不進(jìn)行會(huì)話組包，在實(shí)現(xiàn)上也有可能需要把必要的信息存放在數(shù)據(jù)包本身中。如13年曾以44分鐘掃描完全部互聯(lián)網(wǎng)的ZMAP，之后出現(xiàn)的MASSCAN，都使用了這種無(wú)狀態(tài)掃描技術(shù)，掃描速度比以往任何工具都有質(zhì)的提升，后者更是提出了3分鐘掃完互聯(lián)網(wǎng)的極速。

目前被廣泛使用的無(wú)狀態(tài)掃描引擎有ZMAP、MASSCAN，由于其無(wú)需維護(hù)連接狀態(tài)，因此可以達(dá)到極高的掃描速度。

ZMAP是美國(guó)密歇根大學(xué)研究者開發(fā)出一款工具，在第22屆USENIX安全研討會(huì)，以超過(guò)NMAP 1300倍的掃描速度聲名鵲起，相比大名鼎鼎的NMAP全網(wǎng)掃描速度是他最大的亮點(diǎn)，在千兆網(wǎng)卡狀態(tài)下，45分鐘內(nèi)掃描全網(wǎng)絡(luò)IPv4地址。

SYN(synchronous)是TCP/IP建立連接時(shí)使用的握手信號(hào)。在客戶機(jī)和服務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時(shí)，客戶機(jī)首先發(fā)出一個(gè)SYN消息，服務(wù)器使用SYN+ACK應(yīng)答表示接收到了這個(gè)消息，最后客戶機(jī)再以ACK消息響應(yīng)。這樣在客戶機(jī)和服務(wù)器之間才能建立起可靠的TCP連接，數(shù)據(jù)才可以在客戶機(jī)和服務(wù)器之間傳遞。

現(xiàn)有技術(shù)就是利用無(wú)狀態(tài)掃描在掃描速度上優(yōu)勢(shì)大大提升掃描速度，但其更加側(cè)重于包的發(fā)送速率和無(wú)狀態(tài)掃描的實(shí)現(xiàn)方案，較少考慮防火墻的規(guī)避問(wèn)題。

在正常的網(wǎng)絡(luò)通信中，由于單一SYN包中各協(xié)議字段的值具有非常大的不確定性，防火墻很難針對(duì)這樣的數(shù)據(jù)流量編寫特定的過(guò)濾規(guī)則。但是當(dāng)類似ZMAP這樣的專注于端口掃描的工具所發(fā)出的SYN包中具有硬編碼的協(xié)議字段時(shí)，防火墻就很容易針對(duì)這些這些特定的協(xié)議字段編寫特定的過(guò)濾規(guī)則，而不用擔(dān)心這樣的過(guò)濾規(guī)則誤傷正常的網(wǎng)絡(luò)流量，造成掃描結(jié)果的漏報(bào)，如圖1所示。

另外，上述無(wú)狀態(tài)掃描技術(shù)中，單純的出于發(fā)包速率等原因考慮，發(fā)出的SYN包并非現(xiàn)代TCP/IP協(xié)議中常見的完整SYN包，而是一種精簡(jiǎn)的SYN包，即缺少Options字段的SYN包，目的是實(shí)現(xiàn)同等網(wǎng)絡(luò)帶寬下更高的發(fā)包速率。但此種精簡(jiǎn)的SYN包因其結(jié)構(gòu)的特殊性，可能觸發(fā)某些防火墻的BUG，導(dǎo)致此類SYN包被防火墻直接丟棄。

技術(shù)實(shí)現(xiàn)要素：

為克服現(xiàn)有技術(shù)中存在的不足，本發(fā)明的目的在于提供一種規(guī)避防火墻檢測(cè)的無(wú)狀態(tài)掃描方法，盡可能讓無(wú)狀態(tài)掃描所發(fā)出的SYN包模仿正常的網(wǎng)絡(luò)通信流量，做到去特征化，并避免包中存在特異結(jié)構(gòu)觸發(fā)通信鏈路中設(shè)備的實(shí)現(xiàn)BUG。

為解決上述技術(shù)問(wèn)題，本發(fā)明采用的具體方案為：

一種規(guī)避防火墻檢測(cè)的無(wú)狀態(tài)掃描方法，其步驟為：

1)掃描器生成基礎(chǔ)SYN包并隨機(jī)化該基礎(chǔ)SYN包中的設(shè)定的協(xié)議字段；其中，基礎(chǔ)SYN包為不攜帶Options段的SYN數(shù)據(jù)包；

2)掃描器在步驟1)處理后的SYN包中增加TCP/IP協(xié)議中的Options段；

3)掃描器發(fā)送經(jīng)過(guò)步驟2)處理后的SYN包進(jìn)行無(wú)狀態(tài)掃描。

進(jìn)一步的，該設(shè)定的協(xié)議字段為基礎(chǔ)SYN包的包頭中的Identification字段。

進(jìn)一步的，步驟1)中，掃描器使用隨機(jī)數(shù)生成函數(shù)生成一隨機(jī)數(shù)，然后將基礎(chǔ)SYN包的包頭中的Identification字段替換為該隨機(jī)數(shù)。

進(jìn)一步的，該隨機(jī)數(shù)為一個(gè)二進(jìn)制長(zhǎng)度不超過(guò)16bit的隨機(jī)數(shù)。

進(jìn)一步的，將TCP/IP協(xié)議中的Options段作為步驟1)處理后的SYN包中的最后一個(gè)協(xié)議字段，附加在步驟1)處理后的SYN包中。

進(jìn)一步的，所述Options段的類型為MSS類型、長(zhǎng)度為8bit、值為1460，Options段總長(zhǎng)度32bit。

本發(fā)明主要步驟包括：

1)無(wú)狀態(tài)掃描工具生成不攜帶Options段的SYN數(shù)據(jù)包；

2)隨機(jī)化所述SYN包中的Identification字段；

3)在SYN包中增加現(xiàn)代TCP/IP協(xié)議中常見的Options段；

4)發(fā)送經(jīng)過(guò)上述處理的SYN包進(jìn)行無(wú)狀態(tài)掃描。

所述無(wú)狀態(tài)掃描工具包括ZMAP和MASSCAN。

本發(fā)明的有益效果是：

(1)通過(guò)隨機(jī)化協(xié)議字段，無(wú)狀態(tài)掃描中所發(fā)SYN包與正常的網(wǎng)絡(luò)通信流量中的SYN包幾乎沒(méi)有差別，盡可能避免協(xié)議字段的硬編碼，防火墻不再有可能從中找到特征，從而對(duì)掃描發(fā)包進(jìn)行過(guò)濾，提高了端口發(fā)現(xiàn)比例。

(2)通過(guò)在精簡(jiǎn)的SYN包中增加現(xiàn)代TCP/IP協(xié)議中常見的Options段，避免了特殊包結(jié)構(gòu)觸發(fā)通信鏈路中網(wǎng)絡(luò)設(shè)備的BUG，進(jìn)一步提高了端口發(fā)現(xiàn)比例。

附圖說(shuō)明

圖1為現(xiàn)有方案中目標(biāo)主機(jī)探測(cè)失敗場(chǎng)景圖。

圖2為本方案中提供的無(wú)狀態(tài)掃描方法流程圖。

具體實(shí)施方式

為使本發(fā)明的上述特征和優(yōu)點(diǎn)能更明顯易懂，下文特舉實(shí)施例，并配合所附圖作詳細(xì)說(shuō)明如下。

本實(shí)施例提供一種規(guī)避防火墻檢測(cè)的無(wú)狀態(tài)掃描方法，具體步驟如圖2所示，具體步驟如下：

(1)組裝不攜帶Options段的SYN包。

(2)使用隨機(jī)數(shù)生成函數(shù)生成一個(gè)隨機(jī)數(shù)，并將步驟(1)中生成的SYN包頭中的Identification字段替換為該隨機(jī)數(shù)。

(3)在步驟(2)生成的SYN包后附加Options段。

(4)向服務(wù)端某端口發(fā)送修改后的SYN包。

(5)掃描器在完成SYN包的發(fā)送后即進(jìn)入等待狀態(tài)，等待被掃描的服務(wù)端返回SYN+ACK包。

(6)當(dāng)SYN包經(jīng)過(guò)數(shù)據(jù)鏈路中的防火墻設(shè)備時(shí)，防火墻先對(duì)SYN包的有效性進(jìn)行校驗(yàn)，校驗(yàn)通過(guò)后再解析出SYN包中各字段的值，并與已配置防火墻規(guī)則進(jìn)行對(duì)比，如沒(méi)有觸發(fā)防火墻策略則防火墻設(shè)備繼續(xù)向后轉(zhuǎn)發(fā)該SYN包。

(7)服務(wù)器收到SYN包后，根據(jù)TCP/IP協(xié)議中規(guī)定的三次握手機(jī)制向掃描器端返回SYN+ACK包。

(8)掃描器收到SYN+ACK包，判斷服務(wù)端端口開放，完成目標(biāo)主機(jī)探測(cè)。

SYN包的具體修改方式如下：

(1)將SYN包頭中的Identification字段設(shè)置為隨機(jī)值。如下所示：

其中，Identification字段為從SYN包頭起始位置開始偏移32bit，長(zhǎng)度為16bit的字段。當(dāng)初始SYN包生成后，該字段為一固定值，這里需要使用隨機(jī)數(shù)生成函數(shù)獲得一個(gè)二進(jìn)制長(zhǎng)度不超過(guò)16bit的隨機(jī)數(shù)，并將該隨機(jī)數(shù)賦值給Identification字段。

(2)為步驟(1)中獲得的SYN包添加Options段，Options段添加后的SYN包數(shù)據(jù)結(jié)構(gòu)如下所示：

其中，Options段為從SYN包頭起始位置開始偏移160bit，長(zhǎng)度因Options段的類型而異。此處使用現(xiàn)代TCP/IP協(xié)議頭中常見的MSS類型Options段，此類型的Options段長(zhǎng)度為4byte，即32bit。其中包括Options段類型(op_kind)8bit，Options段長(zhǎng)度(op_len)8bit，Options段中的值(mss_val)16bit。op_kind賦值為2，op_len賦值為4，mss_val同樣使用最常出現(xiàn)的值1460。

通過(guò)上述兩步獲得本實(shí)施例中所屬的修改后的SYN包。

對(duì)于本實(shí)施例針對(duì)的掃描鏈路中存在特定防火墻設(shè)備的場(chǎng)景，修改前的主機(jī)探測(cè)成功率為0％，修改后的主機(jī)探測(cè)成功率為100％，成功率提升100％。