L2002212072_谢欣_端口扫描与检测技术的实现.doc
【精品】VC++端口扫描与检测技术的实现(源代码+论文)
收藏
资源目录
压缩包内文档预览:(预览前20页/共27页)
编号:1639441
类型:共享资源
大小:3.77MB
格式:RAR
上传时间:2017-08-30
上传人:机****料
认证信息
个人认证
高**(实名认证)
河南
IP属地:河南
50
积分
- 关 键 词:
-
精品
vc
端口扫描
检测
技术
实现
源代码
论文
- 资源描述:
-
【精品】VC++端口扫描与检测技术的实现(源代码+论文),精品,vc,端口扫描,检测,技术,实现,源代码,论文
- 内容简介:
-
分类号: U D C: 007) 6041 级:公 开 编 号: 2002212072 成 都 信 息 工 程 学 院 学 位 论 文 端口扫描与检测技术的实现 论 文 作 者 姓 名 : 谢 欣 申 请 学 位 专 业 : 计算机科学与技术 申 请 学 位 类 别 : 工学 学士 指导教师姓名(职称): 赵攀 (讲师 ) 论 文 提 交 日 期 : 2007 年 06 月 10 日 端口扫描与检测技术的实现 摘 要 随 着 益广泛的应用,黑客攻击行为也是有增无减。如何有效地抵御这种攻击行为,一直是信息安全领域的焦点。 而其中,端口扫描技术吸引了越来越多人的关注。 端口扫描是黑客搜集目标主机信息的一种常用方法。为了有效地对付网络入侵行为 ,对端口扫描进行研究是非常有益和必要的。 攻击者在攻击一个目标时,首先要获取目标的一些基本信息,端口扫描就是其中最简单最重要的方法之一,它可以扫描目标机器中开放的端口,从而确定目标机器中提供的服务,为下一步攻击做准备。针对端口扫描技术,相应的端口扫描检测技术显的越发重要,作为网络安 全技术中的一个重要课题,端口扫描检测技术意义重大。 本文首先阐述了端口扫描技术以及端口扫描检测技术的基本原理和常用方法,然后在此基础上设计了一个对基于网络的端口进行扫描,能判断出目标主机端口开放情况的程序以及一个从网络信息的数据包的捕获和分析着手,再通过统计判断是否存在端口扫描行为的程序,最后从攻击和防御的角度对端口扫描和检测技术作了演示及分析。 关键词 : 端口 ; 端口扫描;数据包捕获;端口 检测 s by is to of is of of s is a is by to of In to of it is to on an to a he or is of of to by it is a to to As an of is of In it of On it a of of on is a it of of 目 录 论文总页数: 23页 1 引言 . 1 课题研究的意义 . 1 课题的研究方法 . 2 2 端口扫描概述 . 2 本概念 . 2 口扫描原理 . 3 口扫描技术简介 . 5 3 检测端口扫描概述 . 7 口扫描检测的分析 . 7 通 端口扫描检测技术概述 . 8 速端口 扫描 检测技术概述 . 9 口 扫描的分布式检测概述 . 9 流的端口扫描工具 . 11 4 端口扫描的实现 . 12 描程序的设计原理 . 12 序流程图 . 12 5 检测端口扫描的实现 . 13 测程序的设计原理 . 13 序流程图 . 13 计实现重点代码 . 14 6 性能测试 . 18 口扫描程序性能测试 . 18 测端口扫描程序性能测试 . 19 结 论 . 20 参考文献 . 21 致 谢 . 22 声 明 . 23 第 1 页 共 23 页 1 引言 随着科学技术的飞速发展, 21世纪的地球人已经生活在信息时代。 20 世纪人类的两大科学技术成果 计算机技术和网络技术,均已深入到人类社会的各个领域, “地球村”的居民们紧密联系在一起,“天涯若比邻”已然成为现实。 互联网之所以能这样迅速蔓延,被世人所接受,是因为它具备特有的信息资源。无论对商人、学者,还是对社会生活中的普通老百姓,只要你进入网络的世界,就能找到其隐藏的奥妙,就能得到你所需要的信息。近年来 人们的日常生活带来了全新的 感受,“网络生存”已经成为时尚,同时人类社会诸如政治、科研、经济、军事等各种活动对信息网络的依赖程度已经越来越强,“网络经济”时代已初露端倪。 然而,网络技术的发展在给我们带来便利的同时也带来了巨大的隐患,尤其是 飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑,不法分子试图不断利用新的技术伺机攻入他人的网络系统,而肩负保护网络安全重任的系统管理员则要利用最新的网络技术来防范各种各样的非法网络入侵行为。事实已经证明,随着互联网的日趋普及,在互联网上的犯罪活动也越来越 多,特别是 得越来越多的系统遭到入侵攻击的威胁。而作为黑客入侵的前奏,端口扫描是最常见的信息获取手段,端口扫描的检测技术在当今已经越来越成为一个重要的课题。 本文首先对端口扫描技术进行研究,并开发一个能查询 目标主机端口开放情况的程序;然后重点研究端口扫描的检测技术,从 对数据包的捕获和分析着手,再 定义 一个判断是否扫描 的 条件,并 通过统计 由 定义 的扫描条件 判断是否存在端口扫描行为,不但能对一般的扫描、快速扫描能够检测,且 在一定程度上对 慢速扫描也能很好的检测 。 本 课题 研究的意义 在今天快速发展的 客攻击方法层出不穷,网络的安全性已经越来越受到威胁。 要保证计算机资源的保密性、有效性、完整性也变得越来越困难。 端口扫描作为黑客攻击的一个重要方面,也在不停地向前发展 ,扫描手段已经变得越来越丰富,越来越隐蔽,越来越具有威胁性 。如何有效的对端口扫描 行为 进行检测,已经是越来越重要的一个课题,这对于保证我们网络的安全性有着重要的意义,也是入侵检测系统( 入侵预防系统( 一个重点。 第 2 页 共 23 页 本 课题的研究方法 本文分别对端口扫描技术以及端口扫描的检测技术 作了研究,并设计出一个根 据 扫描 者 向目标主机的 记录目标主机的响应,通过分析响应来判断服务端口是打开还是关闭,进而得知端口的状态的端口扫描程序, 以及一个从网络信息的数据包的捕获和分析着手,通过统计判断是否存在端口扫描行为的端口扫描检测程序 。 2 端口扫描概述 本概念 端口的含义 : 在 网络技术 中,端口( 致有两种意思:一是物理意义上的端口 ,比如, 线器、交换机、路由器用于连接其他网络设备的接口,如 口、 口等等。二是逻辑意义上的端口 ,一般是指 P 协议中的端口,端口号的范围从 0到 65535,比如用于浏览网页服务的 80端口,用于 1端口等等。 我们这里将要介绍的就是逻辑意义上的端口。 端口分类 : 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 按端口号分布划分 : ( 1)知名端口( 知名端口即众所周知的端口号,范围从 0到 1023,这些端口号一般固定分配给一些服务。比如 21 端口分配给 务, 25 端口分配给 单邮件传输协议)服务, 80端口分配给 135端口分配给 程过程调用)服务等等。 ( 2)动态端口( 动态端口的范围从 1024到 65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配 出 一个供该程序使用。比如 1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、 011、 306、 024等等。 按协议类型划分 : 第 3 页 共 23 页 按协议类型划分,可以分为 制消息协议)等端口。下面主要介绍 ( 1) 口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括 务的 21 端口, 务的 23端口, 5端口,以及 务的 80端口等等。 ( 2) 用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保 障。 常见的有 务的 53端口, 单网络管理协议)服务的 161端口,000和 4000端口等等 。 口扫描原理 扫描者 向目标主机的 通过探测性数据包得到目标主机的响应并记录下来 ,通过分析响应来判断服务端口是打开还是关闭,进而得知端口的状态 。 通常通过调用套接字函数 )连接到目标计算机上,完成一个完整的3次握手程。如果端口处于侦听状态,那么 就能成功返回。否则,该端口不可用,即没有提供服务。 端口扫描的第一步是向目标主机 的 后根据对方的回应判断端口是否开放。由于网络环境的差异以及操作系统对连接请求的应答并不一致,在端口扫描中支持多种扫描方式,以保证扫描的准确和快速。大多数扫描技术要发送原始套接字包来进行探测。因为只有原始套接字支持对 头的设置,即构造 据包。同时,原始套接字也支持发送和接收 样,原始套接字接口实际上成为网络层向上提供的接口。实现时可通过调用来设置选项 获取自定义 于 支持 此,发送 须通过设置选项 先创建原始套接字,定义 填充 中, ,表示发送的是 改它可以实现不同的标志位探测,如 2是 0是 是 16是 为是自己填充 以还需定义一个计算校验和函数 填充 过 实上 4 页 共 23 页 的,只是用于填充 用 设置选项据填充 P 数据包。设置侦听原始套接字的同步和超时之后,调用 发送 据包。 发送原始套接字包流程图如图 1所示: 图 1 发送原始套接 字包 流程图 原始套接字包发送完后,就可以接收目标主机的回应。当发送原始套接字包时 (如 ,操作系统核心并不知道,也没有此数据发送或者连接建立的记录。因此,当远端主机回应时,系统核心就把这些包都全部丢掉,从而到达不了应用程序上。所以,程序中不能简单地使用接收函数来接收这些数据包。要达到接收数据包的目的,必须采用嗅探,接收所有通过的数据包,然后进行筛选,留下符合需要的。为此可以再定义一个原始套接字,用来接收数据,并在套接字 I/0控制函数中设置 示接收所有的数据。通过设置 原始套接字的 I/0控制命令,便可以调用 接收返回的数据包。一般情况下使用的是于 全连接扫描拥有很好的稳定性,这种技 第 5 页 共 23 页 术用得非常多。通常通过调用套接字函数 连接到目标计算机上,完成一个完整的 3 次握手过程。如果端口处于侦听状态,那么 就能成功返回。否则,该端口不可用,即没有提供服务。 以上实现的端口扫描,可以得到每个端口的状态,此处的状态并非端口本身的性质,而是对扫描结果的描述。端口状态可以分为 5种: 放的 )、 闭的 )、 过滤的 )、被过滤的)和 放或者被过滤的)。 口扫描技术简介 常用的端口扫描技术主要有以下几种: ( 1) 扫描 这是最基本的 利用 操作系统提供的 用来与每一个感兴趣的目标计算机的端口进行连接 。 如果端口处于侦听状态 , 则 否则 , 这个端口是不能用的 , 即没有提供服务 。 这个技术的最大的优点是 , 用户不需要任何权限 , 系统中的任何用户都有权利使用这 个调用 。 另一个好处就是速度快 。 如果对每个目标端口以 串行 的方式 ,使用单独的 调用 , 那么 将会花费相当长的时间 , 用户可以通过同时打开多个套接字 , 从而加速扫描 。 使用非阻塞 I/低的超时时限,同时观察多个套接字 。 但这种方法的缺点是很容易被发觉 , 并且被过滤掉 。 目标计算机的 否 出错的服务消息 , 并且能很快地使它关闭 。 ( 2) 这种技术通常认为是 “ 半开放 ” 扫描 , 这是因为扫描程序不必要打开一个完全的 扫描程序发送的是一个 好象 准备打开一个实际的连接并等待反应一样 ( 参考 。 一个 返回信息表示端口处于侦听状态 。 一个 表示端口没有处于侦听态 。 如果收到一个 则扫描程序必须再发送一个 来关闭这个连接过程 。 这种扫描技术的优点在于一般不会在目标计算机上留下记录 , 但这种方法的缺点是 , 必须要有 不过这个条件一般都是很容易满足的。 ( 3) 有的时候有可能 一些防火墙和包过滤器会 对一些指定的端口进行监视 , 有的程序能检测到这些扫描 。 相反 , 第 6 页 共 23 页 这种扫描方法的思想是关闭的端口会用适当的 另一方面 , 打开的端口会忽略对 这种方法和系统的实现有一定的关系 。 如果有的系统不管端口是否打开 , 都回复 那么这种扫描方法就不适用了 。 但这种方法在区分 ( 4) 这种不能算是新方法, 只是其他技术的变化。 它 并不是直接发送 是将数据包分成二个较小的 这样就将一个 据包 , 从而过滤器就很难探测到 。 但一些程序在处理这些小数据包时会有些问题 。 ( 5) TP 议解释器 )连接 , 建立一个控制通信连接 。 然后 , 请求这个 据传输进程 )来给 对于一个 这是个推测,尽管 求一个服务器发送文件到另一个服务器是可以的,但当前的 大多数实现并不支持, 因为 这个特性“能用来发送不能跟踪的邮件和新闻,给许多服务器造成打击, 用尽磁盘,企图越过防火墙”。 利用 的是从一个代理的 这样 ,用户能在一个防火墙后面连接到一个 然后扫描端口 。如果 就能发送任意的数据到发现的打开的端口。 对于端口扫描 , 这个技术是使用 然后入侵者试图用 结果通过 如果目标主机正在某个端口侦听 , 传输就会成功 , ( 产生一个 150或226的回应 ) 否则 , 会出现 “ 425 t 。 然后 , 使用另一个 尝试目标计算机上的下一个端口 。 这种方法的优点很明显 , 难以跟踪 , 能穿过防火墙 。 主要缺点是速度很慢 ,有的 闭代理功能。 ( 6) 这种方法与上面几种方法的不同之处在于使用的是 于这个协议很简单,所以扫描变得相对困难。 这是由于打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。幸运的是,许多主机在你向一个未打开 返回一个 样你就能发现哪个端口是关闭的。 此,这种扫描器必须还 实现一个在包 第 7 页 共 23 页 看上去是丢失的时候能重新传输。这种扫描方法是很慢的, 因为 样,这种扫描方法需要具有 ( 7) 和 扫描。 当非 如,对一个关闭的端口的第二个 调用将失败。在非阻塞的 时,如果 果 回 就是用来查看端口是否打开的技术 。 ( 8) 允许看到通过 接的任何进程的拥有者的用户名,即使这个连接不是由这个进程开始的。 例如,扫描者能连接到 后用 发现服务器是否正在以种方法只能在和目标端口建立了一个完整的 接后才能看到。 总之, 为了避过目标系统的日志审计和防火墙的阻截, 为了避过目标系统的端口扫描检测, 入侵者往往会采用一系列方法来改变正常的 端口 扫描方式,以达成 端口 扫描的隐蔽性,这些方法包括:改变扫描端口的顺序、慢速扫描、端口 扫描间隔随机化、随机化扫描包的其它区域、伪造源地址扫描和分布式扫描等。 3 检测端口扫描概述 口扫描检测的分析 端口扫描是一台主机对多个目标端口进行试探,包 括打开的和没有打开的端口 。这就为检测端口扫描提供了两条“线索”: 一是“是否存在试图连接已经关闭端口的行为”;二是“在一段时间内,是否存在从一个源地址发出的数据包到达多个目的地址的行为”。 检测端口扫描的方法主要有两种: 一种是对主机没有对外提供服务的端口进行监听,如果检测到有对这样的端口的连接请求,就认为有扫描发生; 另一种检测方法是对整个网络流量进行监控,检查网络中所有的数据,并对异常情况进行记录。 在本文中, 为了便于对端口扫描检测进行研究, 从端口扫描检测的角度出发,把端口扫描技术分为普通扫描,慢速扫描及分布式扫描,并在后面的介 绍中分别对不同的检测方法作了介绍 。 第 8 页 共 23 页 通 端口扫描检测 技术概述 目前比较常见的端口扫描就是一对一的扫描关系,如下图 2所示,即 只有一个扫描者,且 扫描者从本身出发, 不经过任何隐藏 通过发送探测性数据包来判断目标主机的端口开放情况。 图 2 普通扫描技术 针 对 这种一对一的 普通或快速的端口扫描技术,目前 端口扫描的检测 技术 采用的方法有 都能很好的检测出这种扫描 。 它们 进行端口扫描检测 采用的算法大致可以概括如下 : 在 监测从同一源端发出的数据包 , 如果其目的 的话 , 则认为是一次扫描。 的探测引擎采用模块化的插件结构 ,允许开发者扩展 也可以使得用户可以按自己的需要定制功能。 在 如果检测到从同一个源发出 ,目的为不同的主机和端口的组合的 , 则认为是扫描。 其中 的值可以由用户自己设定。 另外 , 计代码。它检测所有通过的信息包 , 并且将它认为是恶意的攻击行为记录在 的检测原理是 : 如果在短时间内有超过 7个以上的端口收到信息包 (不管类型如何 ) , 那么这一事件就被当成端口扫描记录下来。 主要用来检测外部对主机的端口扫描 , 它能够对多种扫描方法进行检测。 它的检测原理是 : 对没有开放服务的端口的访问有可能是一次扫描。 通过监测没有开放服务的端口 ,在最近 次则判断为一次扫描。 以上几种扫描 检测 方法对端口扫描所采用的检测技术都比较简单 , 且存在以下缺点 : 第 9 页 共 23 页 ( 1) 无法检测慢速扫描 , 因为在检测中时间窗是个固定值 , 只要扫描速度低于这个阈值 , 攻击者就可以成功地逃避检测 。 当设定的时间阈值大到一定程度时 ,需要从相当长时间的网络连接记录中找出扫描行为 ,系统资源消耗较大 ,无法适应宽带网络尤其是高速网络环境 ; 从理论上讲 ,黑客总能够以略大于系统设定阈值的时间间隔进行端口扫描 ; ( 2) 未考虑到受保护网段的特点 , 对网段内所有主机都采用相同的检测策略 , 效率不高而且容易导致误报 。 速端口 扫描 检测技术概述 慢速端口 扫描是在普通端口扫描技术上进化而来的,可以说是黑客技术提高的体现。 通常普通 端口扫描 的扫描者对被扫描者 发送探测性数据包都是快速的,被扫描者在进行捕包判断上就会显得比较容易,而慢速扫描与普通扫描一样,都是一对一, 即扫描者和被扫描者都只有一个, 但是其对目标主机发送探测性数据包 的时间间隔上就变化很大,可以在 1分钟发送一个探测性数据包后 20分钟再继续发送探测性数据包,也或者在 发送一个探测性数据包 后 时间就递增, 产生一个时间上的变化, 总之给检测端口扫描带来了极大的困难,这就需要用新的规则,新的技术来进行端口检测。 在目 前的慢速扫描检测技术中,模糊技术是应用的比较好的能检测出慢速端口扫描的新型技术。 口 扫描 的分布式检测概述 在当前端口扫描技术中,比较难以检测的是分布式扫描,针对分布式扫描,不能采取对普通扫描及慢速扫描的检测方法。 如下图 3 所示,分布扫描是指扫描者通过控制其他 多台 计算机对目标主机进行数据包探测,这样,被扫描者所捕获的数据包就是来自于不同的 是实际扫描者通过 所控制的计算机对 应答数据包的分析依然能够判断 出 目标主机的端口开放情况,被扫描者 虽然所捕获到的探测性数据包其 是受到了 并没有判 断出真正的扫描者,在这种情况下 通常的检测方法对分布式扫描是无效的。 当然,在分布式扫描的基础上加以慢速扫描,则是更加难以检测的扫描技术。 第 10 页 共 23 页 图 3 分布式扫描技术 在当前的分布式扫描检测技术中,最常用的是在进行端口扫描检测时,将系统分成两个部分: 第一部分是传感器,它的功能是判断一个包的异常程度,赋给包一个异常值。如果一个包有异常,则从网络数据中过滤出来,进行下一步的处理;如果一个包没有异常,则简单地丢弃。 第二部分是分析器,它对异常包进行汇集、分类、分析。首先将异常包根据其不同特性分成不同的类,然后再 对不同的类计算一个类的异常值总和。如果一个类的异常值总和超过了阈值,则判断为扫描。在分布式端口扫描检测系统中,传感器分布在一个大网的各个子网内,采集网络上的各种有关扫描异常数据;而分类器是一个汇总的分析器,通过汇总分析网络内各个子网的数据,可以更好地分析网络上出现的扫描情况。 分布式检测方法具有很多优点: 首先,它能够实现分布式扫描的检测。因为分布式扫描其扫描包具有一定的异常性,所以这些包可以被第一步的检测从网络数据中过滤出来。在第二步进行分类分析的时候,由于这些分布式扫描的包具有一个共同的特性,即扫描对象 是同一个主机或同一个端口,因此 它们 可以被聚集到一个类里,从而被检测为扫描。其次,这种方法也能够检测慢速的扫描。由于网络上巨大的通信量,所以在以前的检测方法里检测时间窗 则会消耗掉太多的内存和 采用该方法,由于分析器只需分析处理异常包,因此可以取一个很大的时间窗 T,从而检测出慢速的扫描。 另外,分布式检测方法具有很好的实时性。由于传感器只需要判断一个包的异常程度,而不需要判断是否属于扫描,因此可以实现一个很快的异常包过滤器。而传统的检测方法,例如, 先检查包的结构,然 第 11 页 共 23 页 后检查现有的扫描列表,相对来说是很费时间的。 异常包的检测: 首先,需要有一个准则来确定网络上一个包的异常程度。通过分析已有的一些检测工具、扫描工具、以及入侵者用以躲避扫描检测的方法,总结出下面的包是异常的包: ( 1)带有奇怪标志位的包有可能是扫描包; ( 2)没有正确的执行 ( 3)连接后马上断开,没有具体协议内容的包,有可能是扫描包; ( 4)对没有开放服务的端口的连接包有可能是扫描包。 扫描技术在进步,相应的检测技术也在相应提高,现今还出现了一种新的检测分布式扫描的方法,其原理是靠统计流量来进行判断,也能很好的检测出分布式扫描。 但是由于网络上的流量非常的大,且相当的不固定,要定义一定时间内的流量有很大的困难,所以这种检测方法还存在很多缺陷,容易产生误判为端口扫描,也容易放过真正的端口扫描行为。 流的端口扫描工具 常用的几种端口扫描检测器有: 认为所有与大于 15个其它主机建立连接的主机都是扫描者。 这种算法是许多检测系统检测算法的雏形。 使用节点代表主机,如果主机间存在数据交换,就在相应的节点间连线。一次扫描试探就会在扫描者的主机和被扫描者的主机之间建立一条连线, 种方法不能检测秘密扫描,速度相对较慢,具体的端口扫描行为的判断需要人工完成。 的端口检测功能是通过一个嵌入程序来完成。 算“在时间 个 确定是否有端口扫描行为; 点是不能检测分布式扫描、慢速扫描,不能处理分片。 指定多个 这些端口被试图连接或扫描时,能在瞬间捕捉连接或扫描企图;它能有效捕捉非连续随机扫描,生成外界扫描动作的详细日志记录,并将发起扫描的主机地址写入 重指扫描者路由,把信息流重定向到一个不 存在的主机。缺点是仅限于对一台单机进行端口扫描分析;判断规则过 第 12 页 共 23 页 于严格,正常的扫描容易被误认为是端口扫描行为 。 4 端口扫描的实现 描程序的设计原理 在进行端口扫描的设计与开发中, 利用三次握手的原理,建立原始套接字,通过向 目标主机的 记录目标主机的响应情况,最后通过分析响应情况来判断目标主机服务端口是打开还是关闭,进而得知端口的状态。 序流程图 如下图 4所示,所开发的端口扫描流程图: 图 4 端口扫描流程图 第 13 页 共 23 页 5 检测 端口 扫描的实现 测程序的设计原理 在 检测端口扫描 程序 的设 计与开发中 ,这 里 首先是 采取通过套接字来进行数据包的捕获 , 再通过解 然后对所解出的 行 解包, 并记录下到达的端口,以及源 址, 目的 址,目的端口, 再设计一种算法,通过算法对数据包进行统计 分析, 最后设定一个判断发生扫描行为的条件, 当满足条件有三次 及三次 以上的 相同 源 此 检测端口扫描程序的 设计不但可以检测一般的扫描 和快速扫描 , 在一定的程度上也能 检测慢速扫描。 以前的 端口扫描检测 方法都是采用在一个固定的时间窗 T 内查看从同一个源地址 发起的连接数 X , 如果 X 超出了设定的阀值 , 则判断为一次扫描。由于网络上的通信量非常大 , 所以以前的端口扫描方法都会设定一个很小的时间窗T ,防止消耗掉过多的内存和 于本文提出的方法与时间窗无关 , 所以在不降低系统整体性能的前提下 ,在 慢速扫描发送探测性数据包时间间隔上不超出 所设计程序所能 记录数据包的 最大上限的 情况下 仍能很好的检测慢速扫描 。 序流程图 如下图 5所示,所开发的检测端口扫描程序基本流程图: 第 14 页 共 23 页 图 5 端口检测流程图 计实现重点 代码 在此 端口扫描检测程序 设计中,重点在于 设计一个算法,用于研究 是否存在端口扫描行为,算法是此设计的重点。 就此设计的检测程序来说,在捕获数据包后所解的 , 由于在分析中要分别考虑 但是对两种包的分析都是一样的, 现我们只详细 阐述 分析 在所设计用于检测端口扫描的算法中, 首先是一个 统计函数,用于对 通过 第 15 页 共 23 页 套接字 捕获数据包的统计: ,) if() ; 0) + if( /调用 数 +在统计的时候这里需要调用一个 数即检测函数,此函数的作用是用于排除完全相同的数据包,由于在分
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
|
2:不支持迅雷下载,请使用浏览器下载
3:不支持QQ浏览器下载,请用其他浏览器
4:下载后的文档和图纸-无水印
5:文档经过压缩,下载后原文更清晰
|
川公网安备: 51019002004831号