[发明专利]一种互联网资产指纹快速探测方法与系统

说明书

本发明提供了一种互联网资产指纹快速探测方法与系统，本发明通过无状态极速开放服务探知网络资产，在无状态扫描过程中，收发是异步的，收发包之间没有交互，发包函数只负责发送，收包在接收特定TCP特征字段即可，没有等待回复的时间，扫描速度可达到质的提升；另外对于互联网资产指纹的快速探测，采用分布式多线程探测，对目标服务，采用模拟正常服务的请求，扫描发出的请求指纹和正常服务通讯及交互请求指纹一致，从而避免短时间内对某一I P进行大量扫描，提升互联网资产指纹快速探测准确率、隐蔽性、扫描速率。

技术领域

本发明涉及网络资产探测技术领域，特别是一种互联网资产指纹快速探测方法与系统。

背景技术

国内外常见的主动网络资产探测工具有Nmap、Xprobe2等，主动探测方法便捷且高效，通过目标网络内的一个节点进行探测数据包的收发和响应分析实现。但是探测行为所引发的大量网络流量噪声很容易对一些正常运行的系统造成影响，因此不适用于需要持续运行的关键性系统；易触发各类安全设备的警报，不利于信息收集行为的隐蔽性；对一些受到代理、NAT路由以及安全设备保护的网络资产的探测难度大；探测结果的全面性相对有限，每次探测只能了解该时刻的网络资产状态；对一些客户端模式的软件、瞬时的服务、需要特定数据包激活的服务等资产进行探测时无效。

发明内容

本发明的目的是提供一种互联网资产指纹快速探测方法与系统，旨在解决现有技术中互联网资产探测单一性、扫描速率以及准确性问题，实现提升互联网资产指纹快速探测准确率、隐蔽性、扫描速率以及多样性。

为达到上述技术目的，本发明提供了一种互联网资产指纹快速探测方法，所述方法包括以下操作：

扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络，将扫描信息编码到TCP包中的数据序号位和源端口位，并将包信息保存本地信息库；

捕获主机或者网关收到的所有TCP数据包，分析数据包的数据序号位和源端口位，当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时，则该数据包为无状态扫描数据包，向对方发送RST包中断连接；

扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息；

采用分布式多线程探测，模拟正常服务请求，以轮询方式对目标网络系统信息进行探测。

优选地，所述扫描客户端的收发包为异步进行，收发包无交互。

优选地，所述扫描信息包括发送端和目的端的IP地址。

优选地，所述数据序号位和源端口位的哈希值与本地IP以及远端IP的哈希值的比对具体为：

将本地IP以及远端IP地址，用哈希算法将IP地址转换为两个整数，第一个整数和TCP/IP包的数据序号位比较；第二个整数用公式计算:端口起始号+第二个编码数％剩余可用端口数，将计算结果和源端口位比较；如果两个比较都一致，则该TCP包为无状态扫描数据包。

优选地，所述网络系统信息包括主机名、操作系统、开放服务、服务指纹、应用容器、框架信息、模块信息以及whois信息。

本发明还提供了一种互联网资产指纹快速探测系统，所述系统包括：

发包模块，用于扫描客户端根据目标网络资产信息构造并发送载荷TCP数据的IP数据包至目标网络，将扫描信息编码到TCP包中的数据序号位和源端口位，并将包信息保存本地信息库；

收包模块，用于捕获主机或者网关收到的所有TCP数据包，分析数据包的数据序号位和源端口位，当数据序号位和源端口位的哈希值与本地IP以及远端IP哈希值一致时，则该数据包为无状态扫描数据包，向对方发送RST包中断连接；

网络信息获取模块，用于扫描客户端根据接收到的目标网络响应数据并结合本地信息库分析获取目标网络系统信息；