admin管理员组文章数量:1533099
2024年3月23日发(作者:)
201 0年第2期 面向入侵防范的反端12扫描系统ScanAnti的设计与实现 袁博
面向入侵防范的反端口扫描系统
ScanAnti的设计与实现
袁 博
(中国国土资源经济研究院,北京 1 01 1 49)
摘 要:随着计算机网络的快速发展,网络安全问题也变得日益突出,而入侵攻击正是网络
安全领域的一大主要威胁。入侵者攻击往往使用端口扫描工具来确定攻击目标。本文针对目前
端口扫描的类型及工作原理,设计并实现了一个面向入侵防范的反端口扫描系统ScanAnti,从而
加快了系统记录、检索、统计网络信息的速度,为系统的高效运行提供了有力的保障。
关键词:入侵防范;反端口扫描;数据库
1 反端口扫描系统ScanAnti的设计
端口扫描是通过称为“扫描器”(scanner)的程序
括数据库的清空、Winpcap抓包模块的各项参数配置等。
Winpcap抓包模块:此模块是所有模块的基础。
完成的。扫描器作为一种发现通信信道的方法,其主要
主要功能包括:①在数据链路层,抓取此局域网内的
思想是尽可能多地探测主机侦听端口,然后根据需要收 所有数据包。②配置过滤器,对所有数据包进行初步过
集接受到的信息,通过这些信息分析出主机的安全漏 滤,减轻对上层核心判决模块的压力。③向上层提供调
洞。其原理是向要探测的主机的所有端口或端口序列发
用接口,将初步过滤的数据包送给核心判决模块。
送一些特殊意义的数据包,根据主机对这些数据包的应
数据库模块:为核心判决模块作出准确判决提供保
②所有可疑的数据包信息。
答或其它返回信息来判断端口的状态,进而找出其安全 障。主要记录的信息有:①受保护的主机信息、端口信息。
漏洞,以便进行有针对性的攻击。
针对目前端口扫描的类型及工作原理,设计并实现
一
个适用于局域网的反端口扫描系统,对端口扫描进行
1.1系统设计思路
设计反端口扫描系统ScanAnti的初衷,就是试图
检测并进行有效的入侵防范,是本论文主要探讨的内容。
找到一种能够对端口扫描进行有效入侵防范的方法。针
对目前端口扫描的类型及工作原理,在改进一些端口扫
描检测系统不足之处的基础上,设计了一个反端口扫描
系统ScanAnti,主要实现局域网内的反扫描干扰功能,
可作为Windows系统防火墙的辅助工具。它应用于共
享式的局域网络中,可以被安装在网络中的任何一台主
机上。反端口扫描系统监视共享网络上的所有数据包,
如果发现有端口扫描存在的话,它就模仿被扫描的主
机,向扫描者发出一些貌似真实的伪造信息,使扫描者
得到错误的扫描结果。
1.2 ScanAnti的系统模块框架结构
图1 ScanAnti的系统模块框架结构
核心判决模块:整个系统的工作核心。根据数据库
为了达到反端口扫描系统的功能要求,进行了系统
提供的信息,依据相应的判断规则和分类规则,对网络
中的可疑数据包进行分析,从而对扫描者,扫描类型和
的模块框架结构设计。具体如图1所示,其中:
MFC界面模块:通过与数据库模块的数据交互,
数据包类型等做出判断。
反扫描干扰模块:依据判决模块做出的结果,对扫
完成对反端口扫描系统ScanAnti主要页面的实现。
初始化模块:完成系统的所有初始化工作。主要包
描者进行反扫描干扰。根据扫描类型,制造出相应的虚
[作者简介]袁博(1 9 8 4 ), 男,北京市人,北京理工大学工程硕士,现为中国国土资源经济研究院实习研究员,研究方向为资源经济、信息安全。
;-.HL遥感 2010年第2期
假信息,从而迷惑扫描者,使其得到错误的扫描结果。
1.3 ScanAnti中所采用的关键技术
“ProtectLocalHostInfo”、“ProtectPortlnfo”、
“ScanAntiEvent”,分别存储本地局域网受保护主机信
针对现有端口扫描检测工具和软件所存在的主要问
息、受保护端口信息以及1P异常数据包信息记录。
在反端口扫描系统S C a n A n t i中,数据表
题,在设计反端口扫描系统ScanAnti的过程中运用了
如下的手段和技术方案。
“ProtectLocalHostInfo”实现对受保护主机信息的存
①用Winpcap来捕获局域网内数据包
储;数据表“ProtectPortlnfo”实现对受保护端口信息
Winpcap是U NIX下的libpcap移植到windows
的存储;而在系统执行过程中,数据表
下的产物,工作于数据链路层,所以能以很高的效率进 “ScanAntiEvent”实现对端口扫描信息的实时纪录。
行网络操作。反端口扫描系统ScanAnti在数据链路层
调用Winpcap抓包模块来捕获此局域网内的所有数据
包,通过配置过滤器设置捕获条件,对所有数据包进行
初步过滤,只捕获我们关心的数据,扔掉无关的垃圾数
据,这使得捕获包的数量大大减少,节省了存储空间,
同时也就减少了包处理时间和掉包问题,可以充分减轻
对上层核心判决模块的压力。
②蜜罐技术
在设计反端口扫描系统ScanAnti的过程中,采用
了基于网络的检测方式,并吸收蜜罐技术的思想,提供
假情报以迷惑扫描者。
③针对知名端口和漏洞端口的措施
在设计反端口扫描系统ScanAnti的过程中,在数
据库文件中建立了一个数据表“ProtectPortInfo”,在其
中存放当前的知名端口和漏洞端口,可以实现对受保护
端口信息的存储,使其保持更新的实时性,反端口扫描
系统ScanAnti判断对于知名端口和漏洞端口进行扫描
的依据就是该数据表“ProtectPortlnfo”。如果有新的漏
洞端口出现,系统管理员只要在该数据表
“ProtectPortInfo”中加入该端口的信息,反端口扫描系
统ScanAnti就能够灵活的检测到对于知名端口和漏洞
端口进行的扫描,并且马上发出足以引起系统管理员注
意的警告信息。
2反端口扫描系统ScanAnti的实现
2.1 ScanAnti的开发环境
反端口扫描系统ScanAnti是在Windows XP操作
系统中Visual C++6.0下开发完成的。系统是基于
MFC Dialog开发的,使用Winpcap作为抓包工具,同
时使用Microsoft office access 2003数据库支持系统
数据存储。
2.2 ScanAnti主要模块的实现
2.2.1数据库模块的实现
本系统中使用的数据库为Microsoft office access
2003,数据库名为“ScanAntiDB.mdb”,存储在当前系
统文件工作目录下,该数据库中含有以下三个数据表:
2.2.2核心判决模块的实现
核心判决模块主要负责将Winpcap抓获的可疑数
据包加以解析、判断、分类和进行最后的判决,并根据
最后的判决结果将相关信息传递给反扫描干扰模块,由
反扫描干扰模块负责发送相应的干扰数据包,对扫描者
进行反扫描干扰。
该模块首先将对抓获的数据包进行解析,获取IP
数据报头信息,然后根据IP数据报头信息中协议的内
容分别进一步解析上层数据报头信息(如TCP, UDP,
ICMP等)。至此核心判决模块获得了完整的各层数据报
头信息,而后开始根据这些完整的数据报头信息进行判
断、分类和最后的判决。
另外,为了保证反端口扫描的准确性,对于抓获的
关于“某一主机的某一种扫描”的数据包的数目需要超
过预先设定的门限值(本系统中设定为4)时,才确定当
前主机处于该种扫描状态,才对而后抓获的该类数据包
加以反扫描干扰;否则若抓获的关于“某一主机的某一
种扫描”的数据包的数目小于预先设定的门限值,同时
大于0时,则认为当前主机处于该种扫描的可疑状态,
暂时不对其做出任何反击,需要进一步做出观察;而若
抓获的关于“某一主机的某一种扫描”的数据包的数目
为0时,则认为当前主机没有该种扫描行为,即正常。
2.2.3反扫描干扰模块的实现
反扫描干扰模块根据核心判决模块的判决结果对需
要反扫描干扰的情况发送相应的干扰数据包,达到对扫
描者进行干扰,使其得到错误扫描结果的目的。
反端口扫描系统Scai1Anti对于所有被判决为
ANTIBODY的数据包均不做出反扫描干扰处理;对于
所有ANTIGEN数据包都做出反扫描干扰处理;而对
于POSSIBLEANTIGEN数据包需要进一步参考其
它信息后才能做出是否进行反扫描干扰的决定。
2.3 ScanAnti的运行过程
①首先显示欢迎界面,显示时间为2秒。
②接着系统将显示系统数据初始化界面,主界面上
的进度条显示系统初始化的进度。在这个步骤中系统将
201 0年第2期 面向入侵防范的反端El扫描系统ScanAnti的设计与实现 袁博 7
扫描局域网主机,获取本地局域网活动主机的基本信
(2)反端口扫描系统ScanAnti能够完成对端口扫
息,包括主机IP,主机名,主机MAC地址等等。系统 描的常规检测,同时吸收蜜罐技术(Honey Pot)的思
将把所有获得的活动主机信息存储到Microsoft office
想,在快速定位人侵者的基础上,通过制造大量虚假信
access 2003数据库“SCanAntiDB.mdb”中
息对其进行有效的入侵防范。
“ProtectLocalHostlnfo”表中。同时系统将初始化系统
的主要数据结构一
m
(3)反端口扫描系统ScanAnti引入数据库相关技
“C S C a n A n t i C 0 r e
术,加快了系统记录、检索、统计网络信息的速度,从
cScanAntiCtrl”类对象;读取数据库“ScanAntiDB.
而为系统的高效运行提供了有力的保障,同时也为系统
mdb”中“ProtectLocalHostInfo”表来初始化本地受保 向着大容量,高速率,高精度的实用化反端口扫描系统
护主机信息,读取“ProtectPortlnfo”表来初始化本地
受保护端口信息;清空“ScanAntiEvent”表来实时记
录本次反扫描干扰事件的信息。
③系统初始化后,开始进入前面所示的系统主控制
界面。可以首先点击“查看受保护主机”,“查看受保护
端口”按钮来分别查看“系统受保护主机信息”以及“系
统受保护端口信息”;然后点击“启动ScanAnti”(点击
后,系统将自动刷新该按钮,并修改其为“关闭
ScanAnti”按钮),系统将启动“一ScanAntiThread”子
线程来监控本地局域网:
U INT
ScanAntiThread(LPVOID lparam);
pThreadSCanAnti=::AfXBeginTh read
(一ScanAntiThread,this);//反扫描子线程
该子线程将负责调用Winpcap来抓取异常数据包,
并进一步解析、分析,最终根据数据包的类型不同作出
不同的处理。该线程将一直执行,直到系统关闭为止。
在“一ScanAntiThread”子线程执行过程中,系统
主线程将停滞并等待用户对主控制台对话框的操作,若
用户点击“关闭ScanAnti”按钮,则系统将通过改变系
统状态变量“m—b S Y S S t a t e”来结束
“
ScanAntiThread”予线程。
④点击“退出ScanAnti”按钮,结束本次反端口扫
描动作,退出系统。
2.4 ScanAnti的补充说明
①反端口扫描系统ScanAnti目前只能使用在局域
网中,并且要求该局域网使用集线器等非交换机设备作
为交换节点,否则交换机将过滤数据包,系统抓包工具
将无法抓捕发送到其他主机的IP包。
②在设计反端口扫描系统的过程中考虑到主机的负
荷能力,只对数据库中记录的知名端口和部分漏洞端口
进行保护。
3结论
本论文的主要创新点:
(1)针对目前端口扫描的技术及工作原理,设计并
实现一个面向入侵防范的反端口扫描系统ScanAnti。
演进提供了良好的拓展空间。
参考文献:
…Greg Holden.网络防御与安全对策【M】.北京:清华大学出版社,
2004.
[2寺田真敏等著.TCP/I2】P,网络安全篇[M].北京:科学出版社,
2005.
[5】杨先义,等.网络安全理论与技术【M】.北京:人民邮电出版社,
2005.
【4】刘锋,等.网络对抗[M】.北京:国防工业出版社,2005.
[5】Greg Holden.网络防御与安全对策【M】.北京:清华大学出版社,
2004.
[6】胡道元,等.网络安全[M】.北京:清华大学出版社,2004.
[7】洪宏,等.网络安全扫描枝术研究[J].计算机工程,2004,50
(1 6):54-56. ’
【8]张义荣,等.计算机网络扫描技术研究[J].计算机工程与应用,
2004.2:1 75-1 77.
[9】张玉清,等.安全扫描技术[Mj.北京:清华大学出版社,2004.
[i 0】赵伟锋,等.一种了解黑客的有效手段一蜜罐(Honey,pot)[J】.计算
机应用,2005,21(6):259--261.
……… ……… ≈≈
(上接第4页)
是描述一组数据相对于某个对应值的波动幅度,当
标准差或者方差的值越小时,说明该组数值相对于该对
应值的波动越小。对于本次试验来说,标准差和方差值
都很小,表明该组数据很均匀,几何畸变小,像元几何
大小稳定。经过计算得到:平均像素值2.528米、标准差
0.028、方差0.000809,证明了各实测像素值与标称像素值
2.5米一致。
4结论
本文对ALOS2.5米全色数据进行了试验研究与分
析,初步得出AL0S 1B1级全色数据的像素几何大小可
以达到其标称精度2.5米,能够满足国家l:10000基本
比例尺制图精度要求0]。另外,该数据价格便宜,与同
等分辨率的其他卫星数据相比具有较高的性价比,因此
利用该数据进行测绘、区域环境监测、灾害监测、资源
调查等遥感应用,能够降低应用成本,提高经济收益。
参考文献:
[1】http://www.jax
a.jp/
.
[2】陈述彭,等.遥感大辞典【M】.北京:科学出版社,1 990.8--9.
[5】李建立,等.4Lilt像片扫描分辨率的确定因素分析【J】.测绘技
术装备,2007.(1):1 7-1 9.
版权声明:本文标题:面向入侵防范的反端口扫描系统ScanAnti的设计与实现 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1711140220a301765.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论