以太网中网络扫描的原理与检测方法

2.6 FTP代理间接扫描

　　FTP协议支持代理(proxy)FTP连接,攻击者可以通过FTP server-PI(协议解释器)使源主机和目标主机建立控制通信连接。然后,请求该server-PI激活一个有效的server -DTP(即数据传输进程)来给其他主机发送信息。因此,攻击者可以用代理服务技术来扫描代理服务器所在网段主机的TCP端口。这样,攻击者就可以绕过防火墙,通过连接到防火墙内部的一个FTP服务器进行端口扫描。该方法的优点是很难被跟踪,能穿过防火墙;其缺点是速度很慢。

2.7 UDP不可达扫描

　　该方法与前述方法的不同之处在于使用的是UDP协议。UDP协议对数据包的请求不回应,打开的端口对扫描探测不发送确认,关闭的端口也不发送错误数据包。但是许多主机在用户向一个未打开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACH错误信息。这样攻击者就能判断哪些端口是关闭的。UDP包和ICMP错误消息都不保证能到达。因此,在扫描时必须在探测包看似丢失时重传。RFC793对ICMP错误消息的产生速率做了规定,因此,这种扫描方法很慢。

　　当非管理员用户不能直接读取端口且不能到达错误信息时,Linux能间接地在它们到达时通知用户,如对一个关闭的端口的第2个write()调用将失败;在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错信息还没有到达,则返回EAGAIN(重试),否则返回ECONNREFUSED(连接被拒绝)。

3 网络扫描检测的实现

　　因为网络扫描首先需要对整个网络扫描一遍,从而找到活动主机(因为许多子网配置得很稀疏,所以大部分IP地址是空的),然后对每个活动主机进行穷尽式的端口扫描。因此可以设计一个网络陷阱机来检测网络扫描。其原理与实现过程如下。

　　在网络陷阱机上虚拟多个IP地址,这些地址与需重点保护的主机的IP地址相邻,并且服务与开放端口及需重点保护的主机相同。网络陷阱机与交换机或路由器的映射端口(span port)相连,这样连接就能采集到流经整个网络的数据。

3.1 数据包过滤

　　数据包过滤的主要目的是缩减数据。为了防止丢包,包过滤只做简单的基于包头内容的过滤(如IP地址、TCP/IP端口、TCP标志位等),去除不关心的网络数据包的数据而只留下其报头,并将其结果存入指定数据库。经过包过滤之后的网络包数据量将大大减少。包过滤规则的BNF范式描述如下:

　　例如,在以下规则中:“{12,4}=={16,4}20”,表示若从第12字节偏移处开始的4个字节(源IP地址)等于从第16个字节偏移处开始的4个字节(目的IP地址),则将包的前20字节获取过来,而抛弃包的其余内容。利用此语法定义的过滤规则简单且过滤条件基本上是简单的比较运算,适于计算机进行高效快速地处理。

3.2 网络扫描检测

检测程序对指定数据库文件进行分析。当源地址连续相同的IP请求连接记录大于某一阀值时,则认为此地址的用户可能在扫描网络,这时将此地址上报给执行程序。执行程序通过对可疑IP地址某一时间段内的所有记录进行分析,来发现网络扫描。例如若发现可疑IP对其他主机进行了穷尽式的端口连接,则认为该IP地址用户在进行网络扫描。

但是隐蔽扫描的IP地址很可能是伪装的,且扫描时间也可能不连续,因此用上面的方法不一定能检测到隐蔽扫描。

　　网络扫描的目的是要发现网络中活动主机并找出其安全漏洞,因此服务与端口开放较多的重点保护主机是扫描者的重点对象。检测程序对指定数据库文件进行分析,比较受保护主机的请求连接和网络陷阱机与之相近IP地址的请求连接,如在某时间段内的非常用连接相近,则认为此地址的主机可能被扫描。将此地址上报给执行程序,执行程序对可疑主机IP地址某一时间段内的所有记录进行分析,如发现有穷尽式的端口连接,则认为该主机被网络扫描。

4 结束语

　　网络扫描是一把双刃剑。网络管理员通过网络扫描能检测网络中主机存在的漏洞,从而查漏补缺,使得网络运行更为安全可靠。然而现在网络扫描技术的发展,特别是黑客的积极参与使得网络扫描技术成为一种危害网络安全的行为。只有对网络扫描进行有效监控,才能更有效地保护网络,将网络优势发挥出来。