[发明专利]用于检测具有伪造源地址的端口扫描的方法和装置

说明书

技术领域

本发明总体上涉及数据处理系统，并且具体地涉及用于数据处 理系统安全性的方法和装置。更具体地，本发明涉及用于阻止使用 伪造源互联网协议地址的端口扫描器的计算机实现方法、装置以及 计算机可用程序代码。

背景技术

连接到网络的计算机设备(诸如客户端)上的用户，可以执行 在不同的计算设备(诸如服务器)上可用的应用或其他服务，其通 过连接到与应用或服务相关联的服务器上的端口来实现。端口是通 往网络中客户端和服务器之间的逻辑连接的端点。端口通常由端口 号来标识。服务器上的每个可用应用与不同的端口号相关联。

换言之，端口类似于去往计算机上的特定应用的入口或门口。 类似于入口，端口可以是开放的或关闭的。服务器上的开放端口是 与当前在服务器上可用的应用相关联的端口，以便由一个或多个客 户端计算机使用。关闭的端口是没有与服务器上可用的应用或服务 相关联的端口。黑客通常不能通过关闭的端口来访问计算机。

计算设备可以通过指定与服务器上的特定应用相关联的端口 号，来访问此特定应用。然而，有时候未授权的或恶意的用户可能 想访问服务器上的应用或服务，目的在于对服务器发起攻击。这些 用户通常称为黑客或计算机窃贼。被黑客攻击的服务器可以称为预 期受害者。

黑客通常不知道预期受害者上有什么可用的应用或服务。因此， 黑客可能执行端口扫描。端口扫描是一种系统地扫描计算机的端口 的方法，以便确定哪些端口是与可用的应用或服务相关联的开放端 口，而哪些端口是关闭的端口。在端口扫描中，发送请求与每个公 知端口的连接的一系列消息。从预期受害者接收到的响应指示公知 端口是开放端口还是关闭的端口。黑客使用端口扫描来定位去往计 算机的、易受攻击的开放访问点。

一旦定位了易受攻击的开放端口，黑客可以发起攻击，其可能 导致与受攻击的开放端口相关联的应用的资源对于该应用的预定用 户不可用。这种攻击类型有时称为拒绝服务(DOS)攻击。

此问题的一种解决方案由端口扫描保护软件提供。目前的端口 扫描保护软件识别连接请求中的源互联网协议(IP)地址，此连接 请求可以是端口扫描的一部分。端口扫描保护软件继而阻止此源IP 地址。换言之，端口扫描软件不允许从该源IP地址接收任何额外的 消息。这可以防止黑客使用同一源IP地址的后续攻击。

然而，黑客通过在定位开放端口的端口扫描期间使用伪造源IP 地址，避开了目前的端口扫描防护软件。当端口扫描软件意识到可 能正在进行端口扫描时，端口扫描防护软件阻止在端口扫描消息中 标识的伪造IP地址。然而，目前的端口扫描防护软件不能阻止黑客 的实际IP地址。因此，黑客仍然可以使用未被端口扫描保护软件阻 止的黑客的实际IP地址随意地对任何开放端口发起攻击。这些攻击 可能导致拒绝服务(DOS)，影响尝试获得对预期受害者提供的应 用和/或服务的合法访问的用户。此外，这些攻击可能导致时间、数 据和利润的损失，同时使得应用和/或服务不可用。

发明内容

示意性的实施方式提供了用于端口扫描保护的计算机实现方 法、装置和计算机可用程序代码。在一个实施方式中，响应于检测 到端口扫描，该过程生成具有针对用于传输数据分组的协议而已修 改报头的应答数据分组，以形成已修改的应答数据分组。在一个实 施方式中，针对用于传输数据分组的协议而修改的报头是已修改的 传输控制协议报头。

已修改的应答数据分组将引发来自所述已修改的数据分组的接 收方的响应。该过程将应答数据分组发送到与端口扫描相关联的第 一路由地址。

响应于接收对所述已修改的应答数据分组的响应，该过程识别 响应数据分组的报头中的第二路由地址。第二路由地址是端口扫描 的源的实际路由地址。继而可以阻止来自第二路由地址的所有网络 业务，以防止对任何开放端口的攻击。在一个实施方式中，第一路 由地址是第一互联网协议地址，第二路由地址是第二互联网协议地 址。

针对用于传输数据分组的协议而修改的报头可以包括错误的序 列号。错误的序列号是落在序列号的可接受范围之外的序列号，或 者是从应答数据分组的接收方引诱出响应的协议。在另一实施方式 中，已修改的报头可以包括重置标志或者结束标志。在另一实施方 式中，已修改的报头通过改变用于生成已修改的应答数据分组的校 验和来生成。