基于小型局域网分布式反扫描系统设计与实现.docVIP

基于小型局域网分布式反扫描系统设计与实现 　　【摘 要】当前，网络信息安全受到严重威胁，但由于经济条件的制约，使得普通用户所在的局域网或小型企业自建的局域网不愿采购专业、昂贵的安全设备来保证网络安全。因些设计一个廉价的对普通用户信息安全进行有效保护的分布式反扫描系统，能对黑客恶意扫描实施有效的拦截、欺骗，使其不能获得目标计算机的真实信息，从而不能寻找到正确、有效的攻击途径。 　　【关键词】信息安全；扫描；分布式；预警；欺骗 　　0 引言 　　黑客是一个特殊的群体，他们拥有着高超的计算机技术，随时可以对目标发起攻击，防不胜防。令人惋惜的是目前大部分个人计算机上安装的防火墙面对恶意扫描形同虚设，当黑客发起攻击时该类防火墙又无法抵御专业的入侵和攻击。因此，拥有一套用于监控和惩治恶意扫描的反扫描系统对当前大多数的局域网安全可以起到立竿见影的效果。 　　1 系统设计 　　1.1 总体设计 　　经过对黑客攻击步骤的研究和对黑客心理特征的分析发现：如果在计算机上安装一款专门用于对黑客恶意扫描监测和欺骗的软件，当监测到恶意扫描时，能对恶意扫描实施有效的欺骗，黑客就不能获得目标计算机的真实信息，这样不仅难以寻找到正确、有效的攻击途径，反而极易会被事先设置的虚假信息诱惑上当。如果将局域网中安装拥有扫描监测和扫描欺骗软件的计算机视为一个终端，并且设置总预警中心服务器与这些终端实时连接，构成分布式系统。当该系统下任意一台计算机监控到自己正在遭受恶意扫描时，立即上报该恶意扫描源地址到总预警中心，由总预警中心以广播的形式通知该分布式系统的所有终端提前作好防御，就能实现牵一发而动全身的预警效果。该分布式预警系统的整体结构设计如图1所示。 　　图1分布式预警系统的设计图 　　1.2 防范恶意Ping扫描设计 　　图2 Ping扫描拦截示意图 　　大部分扫描工具扫描的第一步是向目标计算机进行Ping扫描，如果对该类ICMP数据包予以全部拦截，扫描工具得不到目标计算机的ICMP响应，就会自动判断该目标未在线，扫描立刻终止。与此同时把进行该次扫描对应的地址列入黑???单，将该IP地址和扫描信息提交至总预警中心，由预警中心将该危险信息进行广播，这样该分布式系统中的所有终端计算机就能实现免疫。由于IP防火墙的作用，该分布式系统下所有的终端在规定时间内都不会接收该地址发送来的数据包，所以该地址在该预警系统中的任何扫描都无法有效完成。具体反扫描意图如图2所示。 　　1.3 防范系统缺陷扫描设计 　　由于个别扫描工具可以采用TCP响应来判断目标在线情况，甚至无条件的对目标实施扫描，如果不采取措施，恶意扫描肯定成功，为此，必须设置除Ping扫描以外的反扫描机制。当分布预警式系统下任何一台终端监测到自己正被恶意扫描时，由于专用IP防火墙的作用，立即对该地址发送的数据包全部拦截，使得该次扫描无法正确进行。 　　当扫描工具不能得到目标端口的响应时，就无法正确判断目标端口的具体状态，这时欺骗模块实施对该扫描欺骗，响应一些系统本身并未开放的危险端口，回复由事先定义好的、但又与操作系统指纹并不相符的数据包，实现端口扫描和系统探测的双重欺骗。由于操作系统实际信息不能确定，就会造成扫描工具对系统缺陷错误判断。如果黑客利用该“开放的端口”展开攻击则正中下怀，由于所获得信息的虚假，加之IP防火墙的拦截，不仅难以完成有效攻击，反而为管理员追踪、追责留下足够的时间和证据。与此同时将该次扫描相关信息提交至总预警中心，由总预警中心作出上述Ping扫描同样的广播处理，达到整个分布式系统所有终端的预警作用。安装该反扫描预警终端与未安装该扫描预警终端后的效果对比如图3所示： 　　图3 预警系统对比效果示意图 　　2 测试 　　图4 X-scan扫描检测结果图 　　（上接第88页）基于上述思想，该分布式系统已经实现。下面利用目前流行的扫描工具X-scan3.3模拟黑客，扫描安装了该分布式预警系统的终端后的监测结果，如图4所示。 　　测试说明：提供4台同一型号台式计算机，在其中2台安装Windows XP，其余2台安装Windows7。利用360安全卫士打上最新补丁并开启操作系统自带的防火墙。开放多个易受攻击的危险端口：21、23、80、3389，并设置一个同样的弱登陆口令“123456”。在Windows XP和Windows 7两台计算机上安装该预警系统终端，并分别命名为Windows XP（甲）和一台Windows 7（甲），其余两台计算机不安装预警系统，分别命名为Windows XP（乙）和一台Windows 7（乙）。使用X-scan分别对该4台试验机实施扫描50次。扫描结果统计如表1所示： 　　表1 扫描对比结果 　　经过数万次的扫描测试和近三个月的试运行，