一種端口安全檢查方法、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域,尤其是一種端口安全檢查方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002] 通過(guò)對(duì)目標(biāo)計(jì)算設(shè)備進(jìn)行端口掃描,攻擊者就可以獲取IP地址開(kāi)放的端口,一般 這些開(kāi)放端口都有其固定的對(duì)應(yīng)服務(wù),例如像22端口對(duì)應(yīng)的是Linux下的Ssh即遠(yuǎn)程登錄、 80端口對(duì)應(yīng)的是Web應(yīng)用、1433端口對(duì)應(yīng)的是Mssql數(shù)據(jù)庫(kù)服務(wù),由此,攻擊者就通過(guò)開(kāi)放端 口獲取對(duì)應(yīng)的服務(wù),進(jìn)而使用用戶名密碼字典對(duì)已識(shí)別的服務(wù)進(jìn)行密碼暴力破解。
[0003] 因此,企業(yè)安全人員如何保證端口安全是亟需解決的問(wèn)題。常見(jiàn)的端口服務(wù)的密 碼破解工具,例如Hydra,是Linux下的暴力密碼破解工具,幾乎支持所有協(xié)議的在線密碼破 解。企業(yè)安全人員可以通過(guò)Hydra工具來(lái)檢測(cè)端口的安全。然而,Hydra-次只能對(duì)單個(gè)IP地 址的單個(gè)端口進(jìn)行爆破。故,當(dāng)企業(yè)安全人員面對(duì)上萬(wàn)級(jí)的IP地址及每個(gè)IP地址對(duì)應(yīng)多個(gè) 端口的情形時(shí),使用Hydra會(huì)產(chǎn)成大量的重復(fù)勞動(dòng),造成嚴(yán)重耗時(shí)。另外,Hydra的端口無(wú)法 配置,例如,當(dāng)用戶將Ssh服務(wù)對(duì)應(yīng)的端口由默認(rèn)的22設(shè)置為22022時(shí),如果使用Hydra的Ssh 參數(shù)來(lái)破解密碼,默認(rèn)的還會(huì)是22端口,破解結(jié)果就會(huì)受到影響。因此,當(dāng)面對(duì)有點(diǎn)防備的 服務(wù)器時(shí),Hydra就無(wú)法使用,無(wú)法準(zhǔn)確檢測(cè)出端口是否安全。
[0004] 故,需要一種快速并且全面的端口安全檢查方案,一方面,能夠批量處理上萬(wàn)級(jí)IP 地址和多個(gè)端口的密碼破解;另一方面,實(shí)現(xiàn)端口和對(duì)應(yīng)服務(wù)的可配置性,以靈活應(yīng)對(duì)使用 Hydra工具無(wú)法破解的情況。
【發(fā)明內(nèi)容】
[0005] 為此,本發(fā)明提供一種端口安全檢查方法、裝置和系統(tǒng),以力圖解決或者至少緩解 上面存在的問(wèn)題。
[0006] 根據(jù)本發(fā)明的一個(gè)方面,提供一種端口安全檢查方法,方法在服務(wù)器進(jìn)行,在服務(wù) 器中預(yù)先存儲(chǔ)端口和服務(wù)的映射關(guān)系,作為端口映射表,方法包括步驟:接收由計(jì)算設(shè)備傳 送的待破解IP地址段,生成多個(gè)待破解IP地址;根據(jù)端口映射表生成要掃描的端口列表;對(duì) 多個(gè)待破解IP地址中的每個(gè)IP地址,根據(jù)端口列表對(duì)該待破解IP地址的端口進(jìn)行掃描,若 該端口是開(kāi)放端口,則確認(rèn)該端口為該待破解IP地址的待破解端口;關(guān)聯(lián)待破解IP地址和 對(duì)應(yīng)的待破解端口,生成第一隊(duì)列;向端口映射表查詢多個(gè)待破解端口分別對(duì)應(yīng)的服務(wù);調(diào) 用用戶名字典和密碼字典以關(guān)聯(lián)用戶名和密碼,生成第二隊(duì)列;以及利用枚舉方法用第二 隊(duì)列破解第一隊(duì)列中各待破解IP地址的每個(gè)待破解端口對(duì)應(yīng)服務(wù)的密碼。
[0007] 可選地,在根據(jù)本發(fā)明的端口安全檢查方法中,根據(jù)端口列表對(duì)端口進(jìn)行掃描的 步驟包括:調(diào)用端口掃描工具對(duì)端口列表中每個(gè)待破解IP地址的端口進(jìn)行掃描,以確定該 端口在該待破解IP地址下是否開(kāi)放。
[0008] 可選地,在根據(jù)本發(fā)明的端口安全檢查方法中,生成第一隊(duì)列的步驟之后還包括 步驟:將第一隊(duì)列中的待破解IP地址和關(guān)聯(lián)的待破解端口發(fā)送給計(jì)算設(shè)備,以便其顯示。
[0009] 可選地,在根據(jù)本發(fā)明的端口安全檢查方法中,還包括步驟:接收到由計(jì)算設(shè)備傳 送的破解命令時(shí),判斷破解命令是否是一鍵破解命令;若是一鍵破解命令,則開(kāi)啟多線程, 利用枚舉方法用第二隊(duì)列同時(shí)破解多個(gè)待破解端口對(duì)應(yīng)服務(wù)的密碼;以及若不是一鍵破解 命令,則開(kāi)啟單線程,利用枚舉方法用第二隊(duì)列破解待破解端口對(duì)應(yīng)服務(wù)的密碼。
[0010] 可選地,在根據(jù)本發(fā)明的端口安全檢查方法中,用戶名字典和密碼字典包括常用 的用戶名和密碼、以及自定義的用戶名和密碼。
[0011] 可選地,在根據(jù)本發(fā)明的端口安全檢查方法中,還包括步驟:發(fā)送待破解IP地址和 對(duì)應(yīng)待破解端口、以及其對(duì)應(yīng)服務(wù)的密碼給計(jì)算設(shè)備,由其顯示破解結(jié)果。
[0012] 根據(jù)本發(fā)明的另一方面,提供一種端口安全檢查裝置,該裝置布置在服務(wù)器,服務(wù) 器適于預(yù)先存儲(chǔ)端口和服務(wù)的映射關(guān)系,作為端口映射表,裝置包括:接口單元,適于接收 由計(jì)算設(shè)備傳送的待破解IP地址段,得到多個(gè)待破解IP地址;列表生成單元,適于根據(jù)端口 映射表生成要掃描的端口列表;第一處理單元,適于對(duì)多個(gè)待破解IP地址中的每個(gè)待破解 IP地址,根據(jù)端口列表對(duì)該待破解IP地址的端口進(jìn)行掃描,還適于根據(jù)判斷單元的結(jié)果確 認(rèn)端口是該待破解IP地址的待破解端口;判斷單元,適于判斷第一處理單元掃描的端口是 否是開(kāi)放端口;隊(duì)列生成單元,適于關(guān)聯(lián)待破解IP地址和對(duì)應(yīng)的待破解端口,生成第一隊(duì) 列,還適于調(diào)用用戶名字典和密碼字典以關(guān)聯(lián)用戶名和密碼,生成第二隊(duì)列;查詢單元,適 于向端口映射表查詢多個(gè)待破解端口分別對(duì)應(yīng)的服務(wù);以及第二處理單元,適于利用枚舉 方法用第二隊(duì)列破解第一隊(duì)列中各待破解IP地址的每個(gè)待破解端口對(duì)應(yīng)服務(wù)的密碼。
[0013] 可選地,在根據(jù)本發(fā)明的端口安全檢查裝置中,第一處理單元適于調(diào)用端口掃描 工具對(duì)端口列表中每個(gè)待破解IP地址的端口進(jìn)行掃描,以便由判斷單元確定該端口是否開(kāi) 放。
[0014] 可選地,在根據(jù)本發(fā)明的端口安全檢查裝置中,接口單元還適于將第一隊(duì)列中的 待破解IP地址和關(guān)聯(lián)待破解端口發(fā)送給計(jì)算設(shè)備,以便其顯示。
[0015] 可選地,在根據(jù)本發(fā)明的端口安全檢查裝置中,接口單元還適于接收由計(jì)算設(shè)備 傳送的破解命令;判斷單元還適于判斷破解命令是否是一鍵破解命令;以及第二處理單元 還適于在破解命令是一鍵破解命令時(shí),開(kāi)啟多線程,利用枚舉方法用第二隊(duì)列同時(shí)破解多 個(gè)待破解端口對(duì)應(yīng)服務(wù)的密碼、以及在破解命令不是一鍵破解命令時(shí),開(kāi)啟單線程,利用枚 舉方法用第二隊(duì)列破解待破解端口對(duì)應(yīng)服務(wù)的密碼。
[0016] 可選地,在根據(jù)本發(fā)明的端口安全檢查裝置中,用戶名字典和密碼字典包括常用 的用戶名和密碼、以及自定義的用戶名和密碼。
[0017] 可選地,在根據(jù)本發(fā)明的端口安全檢查裝置中,接口單元還適于發(fā)送待破解IP地 址和待破解端口、以及其對(duì)應(yīng)服務(wù)的密碼給計(jì)算設(shè)備,由其顯示破解結(jié)果。
[0018] 根據(jù)本發(fā)明的又一方面,提供了一種端口安全檢查系統(tǒng),系統(tǒng)包括:計(jì)算設(shè)備,適 于響應(yīng)用戶輸入,發(fā)送待破解IP地址段和破解命令給服務(wù)器,還適于接收由服務(wù)器發(fā)送的 待破解IP地址和待破解端口、以及破解的對(duì)應(yīng)服務(wù)的密碼并顯示;以及服務(wù)器,具有如上所 述的端口安全檢查裝置。
[0019] 由上述技術(shù)方案可見(jiàn),在本發(fā)明中,服務(wù)器接收多個(gè)IP地址段,當(dāng)執(zhí)行一鍵破解命 令時(shí),采用多線程處理邏輯,批量破解多個(gè)IP地址段的多個(gè)端口對(duì)應(yīng)服務(wù)的密碼,提高了密 碼破解的效率,避免重復(fù)勞動(dòng),進(jìn)而提高了端口安全檢查的效率。
[0020]進(jìn)一步地,通過(guò)關(guān)聯(lián)待破解端口和對(duì)應(yīng)服務(wù),生成端口映射表,彌補(bǔ)了使用Hydra 工具破解密碼時(shí)只能破解端口默認(rèn)服務(wù)的不足,實(shí)現(xiàn)了端口和服務(wù)的可配置,安全人員就 可以靈活應(yīng)對(duì)端口和服務(wù)的配置問(wèn)題,以提升端口安全檢查的有效性。
【附圖說(shuō)明】
[0021] 為了實(shí)現(xiàn)上述以及相關(guān)目的,本文結(jié)合下面的描述和附圖來(lái)描述某些說(shuō)明性方 面,這些方面指示了可以實(shí)踐本文所公開(kāi)的原理的各種方式,并且所有方面及其等效方面 旨在落入所要求保護(hù)的主題的范圍內(nèi)。通過(guò)結(jié)合附圖閱讀下面的詳細(xì)描述,本公開(kāi)的上述 以及其它目的、特征和優(yōu)勢(shì)將變得更加明顯。遍及本公開(kāi),相同的附圖標(biāo)記通常指代相同的 部件或元素。
[0022] 圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的端口安全檢查系統(tǒng)100的示意圖;
[0023] 圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的端口安全檢查方法200的流程圖;
[0024]圖3示出了計(jì)算設(shè)備120上顯示待破解IP地址和對(duì)應(yīng)服務(wù)的界面示意圖;
[0025]圖4示出了計(jì)算設(shè)備上120上顯示破解端口服務(wù)密碼結(jié)果的界面示意圖;以及 [0026]圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的端口安全檢查裝置500的示意圖。<