本发明专利技术提供了一种互联网资产指纹快速探测方法与系统,本发明专利技术通过无状态极速开放服务探知网络资产,在无状态扫描过程中,收发是异步的,收发包之间没有交互,发包函数只负责发送,收包在接收特定TCP特征字段即可,没有等待回复的时间,扫描速度可达到质的提升;另外对于互联网资产指纹的快速探测,采用分布式多线程探测,对目标服务,采用模拟正常服务的请求,扫描发出的请求指纹和正常服务通讯及交互请求指纹一致,从而避免短时间内对某一I P进行大量扫描,提升互联网资产指纹快速探测准确率、隐蔽性、扫描速率。扫描速率。扫描速率。
【技术实现步骤摘要】
一种互联网资产指纹快速探测方法与系统
[0001]本专利技术涉及网络资产探测
,特别是一种互联网资产指纹快速探测方法与系统。
技术介绍
[0002]国内外常见的主动网络资产探测工具有Nmap、Xprobe2等,主动探测方法便捷且高效,通过目标网络内的一个节点进行探测数据包的收发和响应分析实现。但是探测行为所引发的大量网络流量噪声很容易对一些正常运行的系统造成影响,因此不适用于需要持续运行的关键性系统;易触发各类安全设备的警报,不利于信息收集行为的隐蔽性;对一些受到代理、NAT路由以及安全设备保护的网络资产的探测难度大;探测结果的全面性相对有限,每次探测只能了解该时刻的网络资产状态;对一些客户端模式的软件、瞬时的服务、需要特定数据包激活的服务等资产进行探测时无效。
技术实现思路
[0003]本专利技术的目的是提供一种互联网资产指纹快速探测方法与系统,旨在解决现有技术中互联网资产探测单一性、扫描速率以及准确性问题,实现提升互联网资产指纹快速探测准确率、隐蔽性、扫描速率以及多样性。
[0004]为达到上述技术目的,本专利技术提供了一种互联网资产指纹快速探测方法,所述方法包括以下操作:
[0005]扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络,将扫描信息编码到TCP包中的数据序号位和源端口位,并将包信息保存本地信息库;
[0006]捕获主机或者网关收到的所有TCP数据包,分析数据包的数据序号位和源端口位,当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时,则该数据包为无状态扫描数据包,向对方发送RST包中断连接;
[0007]扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息;
[0008]采用分布式多线程探测,模拟正常服务请求,以轮询方式对目标网络系统信息进行探测。
[0009]优选地,所述扫描客户端的收发包为异步进行,收发包无交互。
[0010]优选地,所述扫描信息包括发送端和目的端的IP地址。
[0011]优选地,所述数据序号位和源端口位的哈希值与本地IP以及远端IP的哈希值的比对具体为:
[0012]将本地IP以及远端IP地址,用哈希算法将IP地址转换为两个整数,第一个整数和TCP/IP包的数据序号位比较;第二个整数用公式计算:端口起始号+第二个编码数%剩余可用端口数,将计算结果和源端口位比较;如果两个比较都一致,则该TCP包为无状态扫描数据包。
[0013]优选地,所述网络系统信息包括主机名、操作系统、开放服务、服务指纹、应用容器、框架信息、模块信息以及whois信息。
[0014]本专利技术还提供了一种互联网资产指纹快速探测系统,所述系统包括:
[0015]发包模块,用于扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络,将扫描信息编码到TCP包中的数据序号位和源端口位,并将包信息保存本地信息库;
[0016]收包模块,用于捕获主机或者网关收到的所有TCP数据包,分析数据包的数据序号位和源端口位,当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时,则该数据包为无状态扫描数据包,向对方发送RST包中断连接;
[0017]网络信息获取模块,用于扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息;
[0018]分布式探测模块,用于采用分布式多线程探测,模拟正常服务请求,以轮询方式对目标网络系统信息进行探测。
[0019]优选地,所述扫描客户端的收发包为异步进行,收发包无交互。
[0020]优选地,所述扫描信息包括发送端和目的端的IP地址。
[0021]优选地,所述网络系统信息包括主机名、操作系统、开放服务、服务指纹、应用容器、框架信息、模块信息以及whois信息。
[0022]
技术实现思路
中提供的效果仅仅是实施例的效果,而不是专利技术所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
[0023]与现有技术相比,本专利技术通过无状态极速开放服务探知网络资产,在无状态扫描过程中,收发是异步的,收发包之间没有交互,发包函数只负责发送,收包在接收特定TCP特征字段即可,没有等待回复的时间,扫描速度可达到质的提升;另外对于互联网资产指纹的快速探测,采用分布式多线程探测,对目标服务,采用模拟正常服务的请求,扫描发出的请求指纹和正常服务通讯及交互请求指纹一致,从而避免短时间内对某一IP进行大量扫描,提升互联网资产指纹快速探测准确率、隐蔽性、扫描速率。
附图说明
[0024]图1为本专利技术实施例中所提供的一种互联网资产指纹快速探测方法流程图;
[0025]图2为本专利技术实施例中所提供的一种互联网资产指纹快速探测系统结构框图。
具体实施方式
[0026]为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。
[0027]下面结合附图对本专利技术实施例所提供的一种互联网资产指纹快速探测方法与系统进行详细说明。
[0028]如图1所示,本专利技术实施例公开了一种互联网资产指纹快速探测方法,所述方法包括以下操作:
[0029]扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络,将扫描信息编码到TCP包中,并将包信息保存本地信息库;
[0030]捕获主机或者网关收到的所有TCP数据包,分析数据包的数据序号位和源端口位,当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时,则该数据包为无状态扫描数据包,向对方发送RST包中断连接;
[0031]扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息;
[0032]采用分布式多线程探测,模拟正常服务请求,以轮询方式对目标网络系统信息进行探测。
[0033]TCP是可靠的面向连接的协议,一个完整的TCP会话没个过程都有不同的状态,正是操作系统在底层已经保存了这些状态,从而在应用层使用起来才更加方便可靠,但可靠的同时带来了资源占用。
[0034]本专利技术实施例中采用无状态极速开放服务探知,无需关心TCP状态,不占用系统TCP/IP协议栈资源,无需syn、ack、fin、timewait,不进行会话组包,扫描速度达到质的提升,甚至可以做到3分钟扫描完互联网的的极速。
[0035]在无状态扫描中,收发是异步的,发包模块不关心收包模块会不会收到回复、收包模块也不关心发包本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种互联网资产指纹快速探测方法,其特征在于,所述方法包括以下操作:扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络,将扫描信息编码到TCP包中的数据序号位和源端口位,并将包信息保存本地信息库;捕获主机或者网关收到的所有TCP数据包,分析数据包的数据序号位和源端口位,当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时,则该数据包为无状态扫描数据包,向对方发送RST包中断连接;扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息;采用分布式多线程探测,模拟正常服务请求,以轮询方式对目标网络系统信息进行探测。2.根据权利要求1所述的一种互联网资产指纹快速探测方法,其特征在于,所述扫描客户端的收发包为异步进行,收发包无交互。3.根据权利要求1所述的一种互联网资产指纹快速探测方法,其特征在于,所述扫描信息包括发送端和目的端的IP地址。4.根据权利要求1所述的一种互联网资产指纹快速探测方法,其特征在于,所述数据序号位和源端口位的哈希值与本地IP以及远端IP的哈希值的比对具体为:将本地IP以及远端IP地址,用哈希算法将IP地址转换为两个整数,第一个整数和TCP/IP包的数据序号位比较;第二个整数用公式计算:端口起始号+第二个编码数%剩余可用端口数,将计算结果和源端口位比较;如果两个比较都一致,则该TCP包为无状态扫描数据包。5.根据权利要求1所述...
【专利技术属性】
技术研发人员:刘山林,
申请(专利权)人:山东林天信息科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。