[发明专利]一种无状态TCP网络扫描方法

说明书

本发明公开了一种无状态TCP网络扫描方法，首先将IP数据包的扫描模块与接收模块独立开来，扫描模块根据目标网络资产信息构造并发送载荷TCP数据的IP数据包给目标网络，并将发送出去的包信息记录下来供接收模块比对使用，接收模块等待响应数据的返回。在限定时间内，若目标网络未做任何响应或接收模块未收到响应数据，则此情况被认定为无响应状态；若接收模块收到目标网络的响应数据，则根据响应数据并结合本地信息库进行分析以获取目标网络系统信息。本发明提出的无状态TCP网络扫描方法，不仅可以大幅提升网络扫描速度，同时也不失扫描精度，因此能够很好的解决扫描速度和扫描精度此消彼长的问题。

技术领域

本发明涉及一种网络扫描方法，具体涉及一种无状态TCP网络扫描方法。

背景技术

随着各类信息网络的不断延伸和普及，来自网络的安全威胁也在呈指数级增长，在各种政治、军事、经济利益的驱使下，各类网络攻击层出不穷，网络攻击手段也不断复杂化、多样化，也更具有针对性，网络安全形势越加严峻。为了能做到先敌发现，防患于未然，对所关注网络目标和主机进行网络搜索，收集相关网络信息，就成为维护网络安全的重要的第一步。

网络扫描作为信息系统安全防护的手段使用，是采用模拟黑客攻击方式对计算机主机或者其他网络设备的安全脆弱程度进行检测和评估的一种安全技术，以找出安全隐患和系统漏洞。其基本原理是使用一系列的程序、工具或脚本，模拟对系统进行攻击的行为，并对结果进行分析，以此了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级，指导网络管理员根据扫描的结果及时更正网络安全漏洞和系统中的错误配置，抢在黑客攻击发起前进行防范。扫描技术在发挥着极为有效的主动防御功能的同时，也被黑客用来作为网络攻击的常用手段。因而，熟练掌握网络扫描的技术原理和实现方式，就可以知己知彼，在网络攻防中拥有更大主动权。

网络扫描技术从扫描过程来分类，主要分为三类：一是存活扫描，二是系统信息(操作系统信息、应用服务信息等)收集，三是漏洞检测。存活扫描采用的主要方法就是通过发送各类型的ICMP或者TCP、UDP请求报文，通过报文发送响应结果判断目标是否存活。在确定哪些目标存活的基础上，通过端口扫描、操作系统判别和系统服务识别等技术对目标系统进行信息收集工作。最后，将收集到的各类系统信息与漏洞库信息进行比对，评估系统可能存在的安全风险。

诸如masscan、nmap、unicornscan等各类丰富和强大的开源工具能够很好地完成对目标网络系统存活扫描任务，而漏洞检测的关键是漏洞库的丰富和实时漏洞的更新。在系统信息收集方面的网络扫描方法中，扫描速率与信息收集量总存在着此消彼长的情况，即在相同硬件资源和网络环境下，扫描速率越快，收集到的系统信息就越少，要想收集到的系统信息越丰富，扫描的速率则会大幅度降低。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种无状态TCP网络扫描方法。

本发明解决其技术问题所采用的技术方案是：一种无状态TCP网络扫描方法，首先将IP数据包的扫描模块与接收模块独立开来，扫描模块根据目标网络资产信息构造并发送载荷TCP数据的IP数据包给目标网络，并将发送出去的包信息记录下来供接收模块比对使用，接收模块等待响应数据的返回。在限定时间内，若目标网络未做任何响应或接收模块未收到响应数据，则此情况被认定为无响应状态；若接收模块收到目标网络的响应数据，则根据响应数据并结合本地信息库进行分析以获取目标网络系统信息。

进一步的，扫描模块包括端口存活扫描模块和漏洞扫描模块，所述接收模块包括端口扫描接收模块和漏洞扫描接收模块，端口存活扫描模块对应端口扫描接收模块，漏洞扫描模块对应漏洞扫描接收模块。

进一步的，本方案的具体步骤为：