反射式TCP端口扫描技术的研究.docx

反射式 TCP 端口扫描技术的研究李树军盐城师范学院计算机系江苏 224002摘要：本文介绍了各种常用 TCP 端口扫描技术的基本原理，在此基础上，介绍了反射式端口扫描技术，分析这种扫描技术实现的原理和特点。最后给出了针对这种端口扫描技术的一些防御办法。 关键词：端口扫描；反射式 TCP 端口扫描；入侵技术；网络安全0 引言随着Internet日益广泛的应用，网络攻击越演越烈，而端 口扫描往往是一次网络攻击的前奏，因此，端口扫描技术成 了信息安全领域的焦点，吸引了越来越多的人对它进行研究。1.1.2TCP-SYN扫描在这种技术中，扫描主机向目标主机的指定端口发送 SYN 数据包。如果目标主机应答 RST 包，那么说明此端口是 关闭的，如果目标主机应答 SYN+ACK 包，说明此端口处于 监听状态。1.1.3 TCP-FIN扫描在这种技术中，扫描主机向目标主机的指定端口发送 FIN 数据包，如果目标主机应答 RST 包，那么说明此端口是 关闭的，如果目标主机不应答任何数据包，说明此端口处于 监听状态。1.2目前主流 TCP 端口扫描技术的特点与缺陷分析TCP-connect()扫描的最大优点是用户不需要任何特权， 另一个好处就是速度比较快，缺点就是很容易被发觉，目标 主机的日志文件会记录下这种扫描行为，很容易被 IDS 检查 到；TCP-SYN 扫描的特点是速度快，因为没有建立完整的 tcp 三次握手，不容易被发现，缺点是构造 SYN 包需要系统 权限 ；而在实际应用中 TCP-FIN 方式的扫描用得较少一些， 因为不同的系统对 FIN 包的处理方式不太一样，因此这种扫 描方式不太具备通用性。随着网络安全技术的发展，对目前 TCP 端口的各种主流 扫描方式有了比较完好的防范措施，因此，国外一些研究机 构提出了反射式端口扫描的概念，下面对这种技术的原理， 实现和特点做详细介绍。1TCP 端口扫描技术的基本原理与常见 TCP 端口扫描技术支持 TCP/IP 协议的主机都是通过开放端口来提供服务 的，一个端口就是一个潜在的通信通道，也就是一个入侵通 道。对目标计算机进行端口扫描，能得到许多有用的信息，从 而发现系统的安全漏洞。1.1TCP端口扫描的基本原理大部分 TCP/IP 协议的实现都遵循以下原则：（1） 当一个 SYN 数据包到达一个关闭的端口时，主机丢 弃数据包同时回答一个 RST 数据包；（2）当一个 SYN 数据包到达一个监听的端口时，正常的 三阶段握手继续，主机回答一个 SYN+ACK 数据包；（3）当一个 FIN 数据包到达一个关闭的端口时，主机回 答一个 RST 数据包；（4）当一个 FIN 数据包到达一个监听的端口时，数据包 被丢弃；（5）无论端口状态如何，对 RST 包均不做任何回应；（6 ）主机接收到 SYN+ACK 包时，主机根据情况回答一 个 ACK 包或者 RST 包。针对 TCP/IP 协议的工作特点，当前常见端口扫描技术有 TCP-connect()、TCP-SYN、TCP-FIN 等。1.1.1 TCP-connect()扫描长期以来，TCP-connect()扫描方式是 TCP 端口扫描的 基础。扫描主机尝试(使用三次握手)与目标主机指定端口建 立正规的连接。连接由系统调用connect()开始。对于每一个 监听端口，connect()会获得成功，否则返回1，表示端口不 可访问。2反射式 TCP 端口扫描技术原理与实现2.1 基础知识（1）每个主机都有个IPID 系统变量作为本机发送IP包的 计数器，系统每发送一个 IP 包，系统就做 IPID+1 运算，同 时，系统发送每个IP 包的时候会把当前的IPID值填充到IP包 IP 首部的 16 位标识字段；（2）主机在发送标志为 SYN 的 IP 包时，可以填充一个非2006.929作者简介：李树军(1980-) ，男，盐城师范学院计算机系网络教研室助教，主要研究方向为网络管理、网络安全。本机的IP地址(a.b.c.d)到IP包的32位源地址字段中，目标主机收到这个 IP 包后，会提取出IP 包中的IP 源地址，然后返回 RST 包或者 ACK+SYN 包给这个源 IP(a.b.c.d)。2.2反射式 TCP 端口扫描技术原理这种反射式扫描方式其实是扫描主机(Attacker)通过假冒 代理主机(Zombie)发送 SYN 包到目标主机(Victim)的特定端 口，目标主机则把回应的数据包发送给代理主机，然后扫描 主机通过IP协议的特点来检测代理主机的IPID值来确定目标 主机的特定端口是否开放。2.3反射式 TCP 端口扫描实现的技术细节为了下面描述的方便，这里约定扫描主机为 A ，代理主 机为 Z ，目标主机为 V 。假设 A 要扫描 V 的 TCP 21 端口，那么步骤如下：（1）A 与 Z 通讯一次，取得 Z 当前的 IPID 值，假定这个 值为 X1 。（2） A假冒Z(填充Z的地址到数据包的源IP字段中)发送 SYN 包到 V 的 TCP 21 端口；那么 V 在接受到这个 SYN 数据 包后就会进入一个处理决策流程。两种情况：情况一：V 的 TCP 21 端口处于监听状态； 情况二：V 的 TCP 21 端口处于关闭状态。如果是情况一，V 就返回一个 ACK+SYN 包给 Z ，因为 Z 自己并没有发起 SYN 包给 V ，Z 接受到这个包后，就返回一 个 RST 包给 V，Z 的 IPID+1;如果是情况二，V 则返回一个 RST 包给 Z，Z 在接受到 V 的 RST 包后丢弃掉这个包，不再返回任何包给 V，Z 的 IPID 值不变。在这两种情况里，最大的区别就在情况一 Z 发送了一个 包，IPID 的值增加了 1，情况二 Z 则没有发包，IPID 的值保 持不变，A 只要知道 Z 在这个期间有没有发包，就可以知道 V 的 TCP 21 端口是否开放了。（3）A 与 Z 再通讯一次，取得 Z 此时的 IPID 值，假定这 个值为 X2，如果 X2 减去 X1 的差为 1，说明 A 与 Z 的两次通 讯期间 Z 没有和 V 通讯，则说明 V 的 TCP 21 端口处于关闭 状态；如果 X2 减去 X1 的差为 2，那么说明 Z 有和 V 有过通讯， 说明 V 的 TCP 21 端口处于监听状态。至此，一次反射式 TCP 端口扫描完成。2.4反射式 TCP 端口扫描技术的优点分析（1）扫描主机假冒了代理主机的地址，没有和目标主机 建立真正意义上的 TCP 连接不会在目标主机上留下自己的痕 迹，从而很好的隐蔽了自己；（2） 选择合适的代理主机可以绕过目标主机的某些限制， 扫描受限资源。比如 V 限制 A 访问其 TCP 21 端口，但是 Z 可 以访问，A 就可以利用 V 与 Z 之间的这种信任关系进行扫描；（3）可以逃避某些 IDS 的检测。对于具有信任关系的主机的访问，IDS 的检测力度往往弱一些，因此，选择和目标具有信任关系的主机作为代理主机，可以逃避某些 IDS 的检测；（4）传统扫描方式下，黑客为了隐蔽自己，需要事先入 侵某台主机作为跳板，然后登录跳板再进行扫描；采用反射 式扫描方式，网络里提供正常服务的大部分主机都可以作为 代理主机，不需要入侵代理主机。2.5反射式 TCP 端口扫描技术的缺点分析（1）扫描期间代理主机有可能在进行其他正常通讯，那 么 IPID 的差值则不准确，影响扫描结果。因此在扫描时需要 选择通讯量不大的作为代理主机，此外可以进行多次扫描， 取统计结果作为扫描的真实结果；（2）因为要取得 IPID 的差值，在进行多端口或者多主机 扫描时，不能采用多线程方式同时进行，扫描速度慢。因此 要提高扫描速度，需要采用多个代理主机，一个扫描线程使 用一个代理主机，互不干扰，选择适当则可以大大提高扫描 速度。（3）扫描时需要额外的发送多个数据包给代理主机，增加了扫描主机的网络负担。3反射式 TCP 端口扫描技术的防御方法要有效的防止这种扫描，需要从两个方面入手：（1）在边界网络的出口配置边界路由，限制源 IP 为非本地 IP 的数据包流出网络，这样可以限制本地网络中的攻击者使用其他网段的 IP 作为代理；此外，在边界网络的入口处配 置相应策略，限制源 IP 为本地 IP 的数据包流入网络，这样可 以防范本地网络中的主机被攻击者用来作为代理主机 ；（2）修改各种系统中的TCP/IP 实现，采用随机的 IPID 机 制代替原来的 +1 机制。4 结论目前绝大部分主流的操作系统都带有 IPID+1 的特性，因 此它们都可以用来作为代理主机进行扫描，随着对这种技术 研究的深入，实现的趋于完美，以后，能实现反射式扫描的 工具将越来越多，这种技术将被广泛采用。在将来的 IPV6 环 境下，源IP 为非本地网络的IP 地址的数据包将不再允许流出 网络，虽然这将限制反射式端口扫描技术的使用，但仍然不 能阻止攻击者使用本地网络的其他主机作为代理进行扫描。 因此，只有在所有的操作系统都取消了 IPID+1 的特性后，反 射式端口扫描技术才无用武之地。参考文献1Fydoor.The Art Of Port Scanning.Phrack Magazine.1997. 2胡朝晖.端口扫描技术及攻击和防御的实现，计算机工程与 应用.2001. 3武装.网络端口扫描及对策研究.电子技术应用.2004. 4Richard Stevens.TCP/IP ILLustrated Volume 1 The Protocols. U.S.2000.下转37页302006.9网 络 安 全网格安全问题是网格计算中的核心问题。网格计算的特点是网格计算会将现有的各种标准协议有机地融合起来，从 而在网格计算中将协议和技术集成起来。网格系统和应用中 的每个用户和服务，要求所有的安全标准，包括安全认证、安 全身份相互鉴别、通信加密、私钥保护及委托与单点登录，都 能在网格计算环境中通过认证证书来验证身份。提供一个较 好的认证解决方案，可以使用户，包含用户计算的过程以及 该过程使用的资源都可以证明彼此的身份。认证是形成安全 政策的基础，它可以使各个局部安全策略都被集成为一个全 局的框架。从而更加有利于网格实体之间实现安全的通信。3.2 GSI方案提供网格环境认证GSI 为网格计算环境提供了一系列的安全协议、安全服 务、安全 SDK，可以提供在网格计算环境中的安全认证，支 持网格计算环境中主体之间的安全通信，防止主体假冒和数 据泄密；为网格通信提供保密性、完整性和回放保护，及为 网格用户提供单点登录和权限委托的能力。另外，GSI 还可以用 来对网格实体的身份进行验证，来确定该实体允许执行哪些操 作。这些安全技术都能有效地保证网格计算环境的安全性和方 便性。GSI 作为保证网格计算安全性的核心，支持用户代理、资 源代理、认证机构和协议的实现。它向上提供一系列的安全协 议，向下支持各种安全机制和技术。GSI 采用GSS-API 作为其安 全编程接口。提供了通用的安全服务，支持应用程序在源码级 的可移植性。它在面向主体间安全鉴别和安全通信操作基础上， 提供获得证书、执行安全鉴别、签署消息和加密消息等功能。GSI 的安全实现主要集中在网络的传输层和应用层，并 强调与现有分布式安全技术的融合。在公钥加密体系的基础 上，充分利用现有的网络安全技术，对某些功能进行扩展，使 得 GSI 可以支持单点登录。从而，在网格计算环境下提供一 个一致的安全性界面，方便了网格的开发和使用。3.3 GSI的安全认证安全认证是对请求者与接受者双方进行身份验证的一个A Research on Grid Security Technology GSILiu Naiwen,Liu Fangai过程，是在 SSL 上进行的一个成功的安全认证，可以校验一个请求连接的合法性，并为其后的双方通信提供一个会话密 钥。GSI 的安全认证是基于用户的私钥创建一个代理，从而为 用户提供认证方法。用户如果没有创建这个代理，就不能提 交作业，也不能传输数据。GSI 认证的一个关键是认证证书。 在网格计算环境中的每个用户和服务都需要通过认证证书来 验证身份，GSI 证书采用了 X.509 的证书格式。主体名称 (subject name)是用来明确认证证书所表示的人或其他对象。主 体的公钥来自于 X.509 认证签署证书的认证中心。标识则记 录了认证中心的名称。签署证书的认证中心的数字签名是可 用来确认认证中心的合法性。在相互认证进行之前，双方要相信彼此的认证中心。双 方有彼此认证中心自身的证书，就可以确保双方由认证中心 签署的证书具有合法性。双方主体都获得了证书，而且都信 任彼此的认证中心后，则双方可相互明确彼此的身份，这就 是相互鉴别的过程。GSI 采用 SSL 协议作为它的相互认证协议。4 总结随着网格技术的成熟和应用的广泛，对安全技术的要求 也日益提高。因此必须建立健壮的网格安全机制。网格组织 已经定义开放网格服务架构(OGSA)作为进一步应用的基础， OGSA 及其安全构件建立在 Web 服务的基础上，而日益完善 的 Web 服务安全技术基本满足大部分的网格安全需求。参考文献1Ian Foster.Carl Kesselman The Grid 2 blueprint for a New ComputinInfrastructureM.2004. 2徐志伟,冯百明等.网格计算技术M.2004.3吴爽等. OGSA 安全体系及其在 GT3 中的实现.计算机应用 研究J.2004. 4应宏等.网格体系结构、关键技术及其应用.计算机应用研究 J.2004.School of Information Science & Engineering, Shandong Normal University,Shandong,250014Abstract:This paper int