[发明专利]一种端口安全检查方法、装置和系统

说明书

技术领域

本发明涉及互联网安全技术领域，尤其是一种端口安全检查方法、装置和系统。

背景技术

通过对目标计算设备进行端口扫描，攻击者就可以获取IP地址开放的端口，一般这些开放端口都有其固定的对应服务，例如像22端口对应的是Linux下的Ssh即远程登录、80端口对应的是Web应用、1433端口对应的是Mssql数据库服务，由此，攻击者就通过开放端口获取对应的服务，进而使用用户名密码字典对已识别的服务进行密码暴力破解。

因此，企业安全人员如何保证端口安全是亟需解决的问题。常见的端口服务的密码破解工具，例如Hydra，是Linux下的暴力密码破解工具，几乎支持所有协议的在线密码破解。企业安全人员可以通过Hydra工具来检测端口的安全。然而，Hydra一次只能对单个IP地址的单个端口进行爆破。故，当企业安全人员面对上万级的IP地址及每个IP地址对应多个端口的情形时，使用Hydra会产成大量的重复劳动，造成严重耗时。另外，Hydra的端口无法配置，例如，当用户将Ssh服务对应的端口由默认的22设置为22022时，如果使用Hydra的Ssh参数来破解密码，默认的还会是22端口，破解结果就会受到影响。因此，当面对有点防备的服务器时，Hydra就无法使用，无法准确检测出端口是否安全。

故，需要一种快速并且全面的端口安全检查方案，一方面，能够批量处理上万级IP地址和多个端口的密码破解；另一方面，实现端口和对应服务的可配置性，以灵活应对使用Hydra工具无法破解的情况。

发明内容

为此，本发明提供一种端口安全检查方法、装置和系统，以力图解决或者至少缓解上面存在的问题。

根据本发明的一个方面，提供一种端口安全检查方法，方法在服务器进行，在服务器中预先存储端口和服务的映射关系，作为端口映射表，方法包括步骤：接收由计算设备传送的待破解IP地址段，生成多个待破解IP地址；根据端口映射表生成要扫描的端口列表；对多个待破解IP地址中的每个IP地址，根据端口列表对该待破解IP地址的端口进行扫描，若该端口是开放端口，则确认该端口为该待破解IP地址的待破解端口；关联待破解IP地址和对应的待破解端口，生成第一队列；向端口映射表查询多个待破解端口分别对应的服务；调用用户名字典和密码字典以关联用户名和密码，生成第二队列；以及利用枚举方法用第二队列破解第一队列中各待破解IP地址的每个待破解端口对应服务的密码。

可选地，在根据本发明的端口安全检查方法中，根据端口列表对端口进行扫描的步骤包括：调用端口扫描工具对端口列表中每个待破解IP地址的端口进行扫描，以确定该端口在该待破解IP地址下是否开放。

可选地，在根据本发明的端口安全检查方法中，生成第一队列的步骤之后还包括步骤：将第一队列中的待破解IP地址和关联的待破解端口发送给计算设备，以便其显示。

可选地，在根据本发明的端口安全检查方法中，还包括步骤：接收到由计算设备传送的破解命令时，判断破解命令是否是一键破解命令；若是一键破解命令，则开启多线程，利用枚举方法用第二队列同时破解多个待破解端口对应服务的密码；以及若不是一键破解命令，则开启单线程，利用枚举方法用第二队列破解待破解端口对应服务的密码。

可选地，在根据本发明的端口安全检查方法中，用户名字典和密码字典包括常用的用户名和密码、以及自定义的用户名和密码。

可选地，在根据本发明的端口安全检查方法中，还包括步骤：发送待破解IP地址和对应待破解端口、以及其对应服务的密码给计算设备，由其显示破解结果。

根据本发明的另一方面，提供一种端口安全检查装置，该装置布置在服务器，服务器适于预先存储端口和服务的映射关系，作为端口映射表，装置包括：接口单元，适于接收由计算设备传送的待破解IP地址段，得到多个待破解IP地址；列表生成单元，适于根据端口映射表生成要扫描的端口列表；第一处理单元，适于对多个待破解IP地址中的每个待破解IP地址，根据端口列表对该待破解IP地址的端口进行扫描，还适于根据判断单元的结果确认端口是该待破解IP地址的待破解端口；判断单元，适于判断第一处理单元扫描的端口是否是开放端口；队列生成单元，适于关联待破解IP地址和对应的待破解端口，生成第一队列，还适于调用用户名字典和密码字典以关联用户名和密码，生成第二队列；查询单元，适于向端口映射表查询多个待破解端口分别对应的服务；以及第二处理单元，适于利用枚举方法用第二队列破解第一队列中各待破解IP地址的每个待破解端口对应服务的密码。