外文翻译侦查扫面检测启发式扰乱攻击前的信息收集.docx

外文翻译侦查扫面检测启发式扰乱攻击前的信息收集.docx

《外文翻译侦查扫面检测启发式扰乱攻击前的信息收集.docx》由会员分享，可在线阅读，更多相关《外文翻译侦查扫面检测启发式扰乱攻击前的信息收集.docx（29页珍藏版）》请在冰点文库上搜索。

外文翻译侦查扫面检测启发式扰乱攻击前的信息收集

密级

分类号

编号

成绩

本科生毕业设计（论文）

外文翻译

原文标题

ReconnaissanceScanDetectionHeuristics

todisruptthepre-attackinformationgathering

译文标题

侦查扫面检测启发式扰乱攻击前的信息收集

作者所在系别

计算机科学与工程系

作者所在专业

网络工程

作者所在班级

作者姓名

作者学号

指导教师姓名

指导教师职称

讲师

完成时间

2012

年

3

月

译文标题

侦查扫面检测启发式扰乱攻击前的信息收集

原文标题

ReconnaissanceScanDetectionHeuristics

todisruptthepre-attackinformationgathering

作者

J.Udhayan

译名

尤帝海安

国籍

美国

原文出处

2009ESRGroupsFrance

侦查扫面检测启发式扰乱攻击前的信息收集

摘要：

毁灭性的攻击阶段，如DDOS攻击和僵尸网络托管，包括在互联网上众多的计算机或网络妥协。

ThePortscanningtoolsareoftenusedbytheattackersnotonlytoidentifythevulnerableserversbutalsotoidentifythevulnerablenetworkorvulnerablecomputersovertheInternet.端口扫描工具不仅经常被攻击者用来识别脆弱的服务器，但也用于确定弱势群体的网络或互联网中易受攻击的计算机。

Iftheattackerscanidentifyasinglevulnerabilitythen,withtheuseofmaliciouscodestheycancompromisethatsystemandmakesitazombie.如果攻击者能够确定一个单一的漏洞，使用恶意代码，他们可能会危及该系统，并使它成为一具僵尸。

攻击者Bycompromisingagroupofcomputerstheattackerscanconstitutethemaliciousbotnetorzombiearmy.通过妥协的一组计算机可以构成恶意僵尸或僵尸军队。

Thesearethenusedtoperformarangeofdevastatingattacks.这些都可用来进行毁灭性的攻击。

Onepossiblesolutiontocurbthezombiearmyormaliciousbotnetisbydetectingandblockingordroppingthereconnaissancescan,otherwiseportscan.遏制僵尸军队或恶意僵尸网络的一个可行的办法是通过检测和阻止或删除侦察扫描，或端口扫描。

Numerousportscanningtechniquesareavailabletoday.可如今众多的端口扫描技术。

要想Todetectthemall,onesinglealgorithmisnotsufficientsowederivedasetofheuristicstodetecttheportscantraffic,eventhecraftyones.探测到它们，一个单一的算法是不够的，因此，我们得出一套启发式甚至是狡猾的检测端口扫描流量的机制。

关键词：

僵尸网络;端口漏洞：

DDOS攻击：

ICMP：

TCP

1.引言

互联网现在是无孔不入，出现扩大和多元化的增长趋势，伴随着开放式标准，它激发了异构网络、设备之间的互动。

目前，因为互联网每时每刻的挥发性和扩大性使它的规模超乎想象。

这不仅有利于用户，也有利于黑客社区，结果为每一天都会出现新的安全挑战。

这使得黑客具备了在互联网上，对地理上分开的目标进行捕食的能力。

互联网上存在的数以百万计的受害计算机引起了最近的混乱。

这种情况的发生是因为受影响的计算机的脆弱性增加。

漏洞黑客往往利用正在开放的端口。

确定一个单一的开放端口，只不过是一个攻击者利用该计算机众多方法中的一种。

与此同时，不侦察扫描将有助于维护多方面的通过感染计算机发起的攻击。

如果对一组工作在互联网上的计算机制定了一个简单的漏洞（危及计算机的方法），这将对网络攻击提供方便，如DDOS等恶意攻击。

如果攻击者想要执行的DDOS分布式攻击版本。

攻击者可以从BOT主那里雇用恶意僵尸网络，形成攻击基地。

这些受害计算机，不仅有利于分布式攻击，但也有助于研究点击欺诈，网络钓鱼，垃圾邮件传播等。

本文的目标是在活动开始高精度的扫描端口流量。

它的完成可能是由定义和应用出口和入口流量所启发。

2.背景

A现实背后的端口扫描

端口扫描器侦察工具。

即攻击者对IP地址和端口规模探测的探头。

如今端口扫描器越来越多地被使用，他们占据了相当一部分的互联网流量。

今天，无数已开发工具的存在，使对互联网的侦察更容易和更有效的。

侦察扫描工具大部分是对用户友好的，即使是新手用户也可以很容易地操作。

现有先进的端口扫描检测遭受原因如下。

大多数端口扫描器所使用的方法，产生的流量表现出的错误可能发生在正常的通信模式中。

这种不寻常但罕见的情况下的模式需要4至5尝试去维护侦察扫描检测。

尽管检测似乎是一个简单的程序，但检测端口扫描是很难制定一个有效的算法。

其原因是，试图打开端口80，可能会导致连接处于半开状态，而且这是正常的。

但如果对一个IP地址或端口的规模发生了半开扫描，那就是不正常的了。

因此，总是很难找到一个端口扫描的好方法。

本地网络成为一个问题。

如果攻击者试图扫描网络内的主机，这可能不需要ISP网关支持的NIDS。

个人用户为了抵御这种内部端口扫描，解决方案应扩展到互联网。

如果攻击者部署僵尸，或者使用伪造的IP地址，那么身份将成为问题。

尤其是，端口扫描可能会被多个伪装的或不时更改的IP地址操纵，因为背后的DHCP环境的动态IP的用户也将不时交换的IP地址，这会混淆的检测。

连续扫描之间的间隔时间也是一个问题，因为攻击者超过了扫描时间，便会逃离扫描之间的间隔时间限制的检测技术。

如果检测机制预计每期半开扫描一定数量，然后攻击者可能通过增加连续扫描的间隔时间，以逃避检测技术。

B侦察扫描和剥削所涉及的步骤

基本上是剥削制度所涉及的四个步骤。

他们是：

步骤1：

检查主机的IP地址活跃与否。

攻击者使用ARP或ICMP协议做这项工作。

大多采用的方法是回声请求/应答和ARP请求/应答。

步骤2：

检查开放的端口，操作系统和任何应用程序运行。

在这一点上，它可能会创建报告或移动到下一个步骤。

步骤3：

尝试确定操作系统或应用程序的补丁级别。

这样做时，攻击者可以导致操作系统或应用程序崩溃，如漏洞攻击。

步骤4：

在最后阶段的扫描器可能试图控制或使没有计算机知识的用户妥协。

扫描器可以是恶意的或友好。

友好的扫描仪通常在1或2步停止。

步骤1和2用于很多合法应用。

在同一时间。

这两个步骤也可用于攻击者执行侦察扫描。

早在第1或第2步进行检测扫描流量，只能帮助保护受害者，因为攻击是在第3步开始。

3.端口扫描的方法和工具

因为漏洞的缓行可用性，大多数现代服务业利用TCP扫描方法。

因此，UDP扫描通常不被包括在攻击前的信息收集工作中，除非来源表示采取UDP扫描所花费的时间是值得的。

有大量的工具以执行侦察扫描。

他们大多能提供免费下载。

他们是Nmap，卷曲，hping，水螅，nessus，netcat，Stunnel，tcpdump，愤怒的IP扫描器超级扫描。

发现石Vision.FPortScanlme端口扫描2000年，蓝色的端口扫描器等。

然而，没有一个单一的工具能提供Nmap所提供的所有功能。

我们感谢那些使这些工具可用的人们。

通过分析这些工具我们发现，Nmap比任何其他的工具提供更多的功能。

这就是为什么对Nmap的防御解决方案，也有助于维护其他端口扫描器。

在不同的扫描技术中，使检测技术变的复杂的是碎片探测包。

将TCP（甚至IP）的头部分割成较小的碎片，将它传递给目标之前经过各地防火墙不重组。

同样，基于签名的IDS设备往往用以检测这些片段是否为“垃圾流量”。

这里值得一提的是碎片可以导致目标崩溃或导致意外的行为。

然而，这可以被检测，因为它适应Table1中提到的任何扫描模式。

表1。

扫描方法和防火墙检测POSSIBILTY

4.启发式扫描检测

A启发式垂直扫描检测

端口扫描通常的方法是垂直扫描。

这种检测可以通过拖延时间来扫描一个端口到另一个端口。

在我们的检测中，我们进行删除相当数量的约束检测时间和允许时间的检测工作，即使攻击者偏执扫描我们的检测机制，最终检测时我们便会发现它。

如果将Y编号或更多的端口对一个（X）的IP地址扫描，那么它是一个启发式垂直的端口扫描;

a）connect（）扫描算法来检测TCPSYN和TCP

这两个扫描建立在半双工或全双工连接模式上。

因此，要抓住这些扫描记录每个连接必须保持连接状态。

因为半开和全开可以发生在正常情况下，但全面开放对一个多端口的单节点或单一节点对n个半开放端口，就意味着它是一个端口扫描。

if（SYNreceived）

if（SYNACKisSent）

{

Store:

（SourceIP.DestinationIP.SourcePort.DestnPort

Compare（SourceIPwithDestinationPort）

if（attemptsfromsameSourceIPmadeagainst15Destnports）

Write:

TCPConnectScanDetected

}

if（RSTisSent）

{

Store:

（SourceIP.DestinationIP.SourcePort.DestnPort）

Compare（SourceIPwithDestinationPort）

if（SourceIPsends>=l0RSTtosameDestnIPfordifferent

DestinationPort）

Write:

SYNScanDetected

}

b）AlgorithmtodetectUDPScan

if（UDPpackets=3）

for（port1!

=port2!

=port3）

{

if

Reply=（NoReply+HostUnreachable）;

thenif

DestinationIP1=DestinationIP2=DestinationIP3;

Portscanning=Positive;

}

then

Store:

SourceIP.DestinationIP.Portno's;

Write:

Portscandetection;

B启发式混合检测及块扫描

攻击者可能试图隐藏他们的端口以防随机目标IP地址的顺序和端口探针天真的扫描活动检测机制。

混合扫描和块扫描类似于垂直扫描模式的延伸，因此垂直扫描检测机制，可以用来检测混合扫描。

C启发式检测发明扫描

端口扫描的方法大多采用TCP的connect（）或SYN扫描。

使用像snort工具防火墙日志​​验证可以检测和阻止这种扫描。

因此专业黑客并不使用它。

因为专业黑客总是试图逃避防火墙/IDS的检测。

所以他们使用创造性扫描或隐身扫描。

    隐形TCP端口扫描涉及到一个或多个数据包发送到目标TCP端口，以避免与逃避防火墙/IDS检测的目标3次TCP握手。

RFC793的标准规定，如果一个主机上的端口是关闭的或某些实现不回应。

应发送一个RST/ACK包，重置连接。

这就是发明扫描检测机制。

据表。

1启发式检测发明袭击的版本将会如下。

a）检测ACK扫描算法

Procedure:

ACKScan-theACKflagisset.eventhoughtheTCPhandshakenevertookplace

if（ACK=lappearsbeforeconnectionestablishment）

PortScanning=Positive

Store:

SourceIP.DestinationIP.Portno;

Write:

ACKscandetectedorillegalTCPapplication

b）检测FIN扫描算法

Procedure:

FINScan-theFINflagisset,eventhoughtheTCPhandshakenevertookplace

if（FIN=lappearsbeforeconnectionestablishment）

PortScanning=Positive

Store:

SourceIP.DestinationIP.Portno;

Write:

FINscandetected

c）检测XMAS树扫描算法

Procedure:

XMASTREEScan-[URG,PSH,FIN]flagsareset;willneveroccurinnormaloperation

if（URG=l.PSH=1.FIN=lappearsbeforeconnectionestablishment）

PortScanning=Positive

Store:

SourceIP.DestinationIP.Portno;

Write:

X-MAStreescandetected

d）检测NULL扫描算法

Procedure:

NULLScan-noflagsareset;willneveroccurinnormaloperation

if（FLAG=NULLappearsbeforeconnectionestablishment）

PortScanning=Positive

Store:

SourceIP.DestinationIP.Portno;

Write:

NULLscandetected

e）迈蒙扫描算法

Procedure:

[ACK,Fin]flagsareset.eventhoughtheTCPhandshakenevertookplace.

if（ACK=1.FIN=lappearsbeforeconnectionestablishment）

PortScanning=Positive

Store:

SourceIP.DestinationIP.Portno;

Write:

Maimonscandetected

Note:

FINscanheuristicswillalsodetectthisscan

5.实验结果

启发式的端口扫描检测工具基于，利用位于LIBPCAP的（OS的数据包捕获库）的JPCAP（一个Java包捕获库）。

JPCAP捕捉通过以太网接口的所有数据包。

我们的算法将检查传入和传出的数据包，并记录连接状态，并给予在RFC793连接将遵循的TCP规则和习惯“（即所有的国家），但在入侵者绕过规则和TCP连接状态的基础上，它会记录连接状态法规。

由于我们的程序，记录每个连接的状态。

连接中所传递的规则，可以很容易识别。

但是，一个入侵者可以利用扫描技术扫描我们的端口，使它像一个有效的用户，这些用户可以作为确定的一个阈值。

该方案还最大限度地减少误报。

经过检测端口扫描。

一个防火墙软件程序从特定的客户端在预定的时期放弃所有的协议包，这有助于完成侦察扫描攻击。

完全依靠端口扫描检测能推理出误报已经被确定。

这可确定关于网络环境下的小推理。

由于检测速度快并确保空或最低限度侦察，这种推理提供更多的空间，删除或过滤流量的检测机制和准确性。

结果如下

图1，检测SYN和TCP的connect（）扫描的结果，使用的选项（-SS-SF）的Nmap

图2，ACK扫描结果

图4，XMAS扫描结果

图5，UCP扫描或空扫描检测结果

图6，FIN扫描检测结果

检测到侦察扫描的企图后，来自该扫描IP地址的数据包就会被丢弃。

扫描端口过滤结果如图9-2，这样就会干扰攻击者知道哪些是开放端口。

防火墙的过滤功能将会持续一段时间，在此期间管理员也可以根据需求更改功能。

因为我们的软件防火会墙阻塞整个范围内的扫描结点间的通信。

端口扫描的检测导致并发开启防火墙，防火墙功能下降甚至回应攻击者的请求。

图7，Nmap的扫描节点对防火墙后的输出切换

6.结果分析

为了讨论检测的有效性。

我们在服务器中运行了三天侦查扫面检测启发式扰乱攻击程序。

端口活动表现在不同的时间间隔，而不是在一个连续的时间。

因此，绘制图获得的结果，是多种多样的，通过端口扫描的时间就是确定的时间间隔。

然后，端口扫描活动限定在一定时间内。

在图11演示的端口扫描检测中，使用基于时间的启发式扫描。

图11,启发式基于端口扫描检测结果

我们安装Snort来收集所有传入的UDP和TCP数据包，并在数据库中存储三天。

此存储的记录集采用基于启发式的检测算法进行分析，以确定误报和漏报。

分析结果列于表2。

Snort提供的端口扫描签名对于进行积极地日志分析是非常有益的。

Snort的广泛使用，使其成为在全球部署最广泛的入侵检测和预防技术，并已成为事实上的行业标准。

超过传统的检测如TCP的connect（）扫描检测，通过利用Snort的签名，SYN和UDP扫描效率可以提高。

但是Snort的部署和管理是非常困难的。

由于Snort是集中管理，简单的配置错误会在各种Snort的情况下被复制和忽视。

这将大大降低性能。

但基于启发式的检测被设计为用户友好型的。

表2,扫描方法和EFFECTTVE阈值以进行撤销虚假检测

本文主要侧重于扫描检测。

因此，像传统TCP的connect（）扫描检测表现出了相当的假像，如表2中所述。

我们还观察到，在结果之间，ACK、SYN和TCP的connect（）扫描遭受虚假检测。

为了减少误报的数量与该端口扫描的多种多样的检测结果，识别虚假检测的有效阈值或无门槛的尝试是必要的。

如图8.ThresholdTCPSYN扫描图9。

为UDP的SCNThresold

ScaleY-axis1unit=10falsedetection,

ScaleX-axis1unit=1Thresold.

图10,虚假检测的数量为每一个TCP连接扫描阈值的变化

从图8，图9和图10中，我们观察到的TCPSYN，UDP扫描和TCPconnect（）的门槛分别为15,7和15在这种情况下虚假的检测减少。

因此，TCPSYN扫描的有效阈值是15。

UDP扫描和TCP连接（）的有效扫描的有效阈值分别是7和15。

减少少数企图将导致边际误报，但是这是从网络能推理出的。

一个拥有网络知识的人可以判定是否检测或检测是否错误。

然而，用更少的误报和温和的假象进行启发式的检测可以更好地确认端口扫描。

在我们的环境中端口扫描执行效率不高。

大多数情况下。

袭击者使用垂直扫描技术，对传统扫描的假象，是极少数的。

因此，使用类似的启发式扫描应减少端口扫描检测数量，但这会增加误报。

然而，根据有关网络的推理人们可以识别假象检测。

7.结论与未来

端口扫描是像DDOS和僵尸网络实施的毁灭性攻击的先导。

所以对端口扫描的检测和及时解决方案将会很有效的阻碍来自成功pre-attack信息收集实现的攻击。

因此，几乎所有可能检测端口扫描多样性的启发式检测被制定和执行卸载vc++中的防火墙在端口扫描后会立即被触发。

放弃含有源端口扫描的IP地址来设定一个时期。

检测像TCPconnect（）一样指向扫描。

通过数据分析和软计算技术SYN和ACK被增强。

签名被用来最小化尝试向前检测端口扫描所需要的数字。

参考文献

[1]SongXingParis.B.-P."MeasuringthesizeoftheInternetviaimportancesampling",IEEEJournalonSelectedAreasinCommunications,p922-933,Aug.2003.

[2]W.TimothyStrayer,RobertWalsh.CarlLivadas,andDavidLapsley,"DetectingBotnetswithTightCommandandControl".31stIEEEConferenceonLocalComputerNetworks,p195-202.Nov2006.

[3]AvinashSridharanYe,T.SupratikBhattacharyya,"ConnectionlessPortscandetectiononthebackbone",IEEEInternationalPerformance,Computing,andCommunicationsConference（IPCC）,

10pp10,April2006.

[4]AnilSharma,JasonR.Martin.NitinAnand.MichelCukier.AndWilliamH.Sanders."Ferret:

AHostVulnerabilityCheckingTool",Proceedingsofthe10thIEEEPacificRimInternationalSymposiumonDependableComputing（PrDC'04）,p389-394,March2004.

[5]MatinTamizi.MattWeinstein.andMichelCukier."AutomatedCheckingforWindowsHostVulnerabilities",Proceedingsofthe16thIEEEInternationalSymposiumonSoftwareReliabilityEngineering,Nov2005.

[6]JaeyeonJungPaxson,V.Berger,AW.Balakrishnan.H."FastPortscandetectionusingsequentialhypothesistesting",IEEESymposiumonSec