一種互聯網資產指紋模糊探測的方法技術

本發明專利技術公開的屬于互聯網技術領域，具體為一種互聯網資產指紋模糊探測的方法，該互聯網資產指紋模糊探測的方法的具體步驟流程如下：步驟一、主動測量方法：以TCP為例，在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源即主動返回banner信息，雖然有可能有進一步的banner信息需要交互實現，但主動返回的banner信息，已經基本能夠識別協議類型、服務應用、甚至程序版本，FTP、SSH、TELNET、SMTP、POP3，基本都屬于此種類型，尤其FTP、SMTP、POP，甚至能顯示歡迎信息、服務程序及版本、資源所在位置或資源屬主等指紋信息，解決互聯網資產指紋探測準確率、隱蔽性、掃描速率等問題，采用分布式多線程模擬正常服務的請求，掃描發出的請求指紋，和正常服務通訊及交互請求指紋一致。和正常服務通訊及交互請求指紋一致。

【技術實現步驟摘要】
一種互聯網資產指紋模糊探測的方法


[0001]本專利技術涉及互聯網
，具體為一種互聯網資產指紋模糊探測的方法。

技術介紹

[0002]國內外常見的主動網絡資產探測工具有Nmap,Xprobe2等，主動探測方法便捷且高效，通過目標網絡內的一個節點進行探測數據包的收發和響應分析實現，但上述方法存在以下問題：探測行為所引發的大量網絡流量噪聲很容易對一些正常運行的系統造成影響,因此不適用于需要持續運行的關鍵性系統；易觸發各類安全設備的警報,不利于信息收集行為的隱蔽性；對一些受到代理、NAT路由以及安全設備保護的網絡資產的探測難度大；探測結果的全面性相對有限,每次探測只能了解該時刻的網絡資產狀態；對一些客戶端模式的軟件、瞬時的服務、需要特定數據包激活的服務等資產進行探測時無效。

技術實現思路

[0003]本專利技術的目的在于提供一種互聯網資產指紋模糊探測的方法，以解決上述
技術介紹
中提出的現有的互聯網資產指紋探測工具比較單一，準確率較低、隱蔽性較差且掃描速率不高的問題。
[0004]為實現上述目的，本專利技術提供如下技術方案：一種互聯網資產指紋模糊探測的方法，該互聯網資產指紋模糊探測的方法的具體步驟流程如下：
[0005]步驟一、主動測量方法：以TCP為例，在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源即主動返回banner信息，雖然有可能有進一步的banner信息需要交互實現，但主動返回的banner信息，已經基本能夠識別協議類型、服務應用、甚至程序版本，FTP、SSH、TELNET、SMTP、POP3，基本都屬于此種類型，尤其FTP、SMTP、POP，甚至能顯示歡迎信息、服務程序及版本、資源所在位置或資源屬主等指紋信息；
[0006]步驟二、半主動測量方法：在連接三握手建立之后，測量探針需要發一定的測量請求，這類請求可以是單個或多個回車換行，也可能是GET/POST這類HTTP請求信息，也可能是“？”、“help”等這種請求信息，這類請求不用嚴格依照開放服務的協議格式，我們統一歸結為通用測量請求，這類資源返回的指紋信息，大多也能夠對開放服務的協議、應用、甚至版本進行識別，HTTP、HTTPS、RTSP、SOCKS4/5、SOAP、Git、部分TELNET、及部分非常見特殊協議，屬于此種類型；
[0007]步驟三、被動測量方法：在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源開放服務不會返回任何指紋信息，通過發送通用測量請求，開放服務也不會返回任何指紋信息或返回的指紋信息量很少且不可讀不可用于資源判斷，只有和開放服務進行相對應的協議交互，才能返回的并得到指紋信息，被動測量方法無法進行模糊測量，在進行一致且先后的協議會話后，才能得到協議類型、服務應用、版本信息，DNS、RPC、SMB、MSSQL、RDP、及部分非常見甚至未知或專用特殊協議，屬于此種類型。
[0008]優選的，所述互聯網指紋模糊測量將目標分為主動、半主動、被動形態，并且首次
研究發送模糊包進行探測的技術，不必知道目標的具體服務程序和服務類型，即可進行資源指紋探測，并且在服務指紋探測的過程中，盡可能模擬正常各類請求，以期盡量繞過中間設備封鎖和保證結果準確，模擬的各類請求，可應對目標服務為主動、半主動、被動的守護監聽，即使不知道目標精確服務，也可獲取服務指紋,不必知道目標的具體服務程序和服務類型。
[0009]優選的，所述互聯網指紋模糊探測工具包括getBanner.php和getBanner.threads.php兩個腳本文件，執行getBanner.php腳本文件調用gerBgetBanner.threads.php根據目標IP范圍設置相應參數進行分布式掃描探測互聯網資產指紋，探測結果HTTP類包含http.banner簡述、http.head.banner響應頭指紋、http.body.banner響應體指紋，非HTTP類指紋按照非http指紋banner.db文件存儲。
[0010]與現有技術相比，本專利技術的有益效果是：
[0011]解決互聯網資產指紋探測單一性問題，目前沒有任何單位有覆蓋全面的網絡空間資產指紋識別技術，Xprobe2屬于遠程操作系統探測軟件，Nmap屬于網絡連接端口掃描軟件,程序單一性不利于網絡資源空間測繪的多樣性測量，本技術專利基于響應協議棧模糊提取識別網絡空間資產的主機名、操作系統、開放服務、服務指紋、應用容器、框架信息、模塊信息、whois信息等解決了測量單一性問題，解決互聯網資產指紋探測準確率、隱蔽性、掃描速率等問題，采用分布式多線程模擬正常服務的請求，掃描發出的請求指紋，和正常服務通訊及交互請求指紋一致。
附圖說明
[0012]圖1為主動測量方法原理示意圖；
[0013]圖2為半主動測量方法原理示意圖；
[0014]圖3為被動測量方法原理示意圖；
[0015]圖4為互聯網資產指紋模糊探測
?
getBanner.php源碼1；
[0016]圖5為互聯網資產指紋模糊探測
?
getBanner.php源碼2；
[0017]圖6為互聯網資產指紋模糊探測
?
getBanner.threads.php源碼1；
[0018]圖7為互聯網資產指紋模糊探測
?
getBanner.threads.php源碼2。
具體實施方式
[0019]下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。
[0020]在本專利技術的描述中，需要理解的是，術語“上”、“下”、“前”、“后”、“左”、“右”、“頂”、“底”、“內”、“外”等指示的方位或位置關系為基于附圖所示的方位或位置關系，僅是為了便于描述本專利技術和簡化描述，而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構造和操作，因此不能理解為對本專利技術的限制。
[0021]實施例：
[0022]請參閱圖1
?
7，本專利技術提供一種技術方案：一種互聯網資產指紋模糊探測的方法，
該互聯網資產指紋模糊探測的方法的具體步驟流程如下：
[0023]步驟一、主動測量方法：以TCP為例，在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源即主動返回banner信息，雖然有可能有進一步的banner信息需要交互實現，但主動返回的banner信息，已經基本能夠識別協議類型、服務應用、甚至程序版本，FTP、SSH、TELNET、SMTP、POP3，基本都屬于此種類型，尤其FTP、SMTP、POP，甚至能顯示歡迎信息、服務程序及版本、資源所在位置或資源屬主等指紋信息；
[0024]步驟二、半主動測量方法：在連接本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種互聯網資產指紋模糊探測的方法，其特征在于，該互聯網資產指紋模糊探測的方法的具體步驟流程如下：步驟一、主動測量方法：以TCP為例，在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源即主動返回banner信息，雖然有可能有進一步的banner信息需要交互實現，但主動返回的banner信息，已經基本能夠識別協議類型、服務應用、甚至程序版本，FTP、SSH、TELNET、SMTP、POP3，基本都屬于此種類型，尤其FTP、SMTP、POP，甚至能顯示歡迎信息、服務程序及版本、資源所在位置或資源屬主等指紋信息；步驟二、半主動測量方法：在連接三握手建立之后，測量探針需要發一定的測量請求，這類請求可以是單個或多個回車換行，也可能是GET/POST這類HTTP請求信息，也可能是“？”、“help”等這種請求信息，這類請求不用嚴格依照開放服務的協議格式，我們統一歸結為通用測量請求，這類資源返回的指紋信息，大多也能夠對開放服務的協議、應用、甚至版本進行識別，HTTP、HTTPS、RTSP、SOCKS4/5、SOAP、Git、部分TELNET、及部分非常見特殊協議，屬于此種類型；步驟三、被動測量方法：在TCP連接SYN、SYN+ACK、ACK三握手連接建立后，空間資源開放服務不會返回任何指紋信息，通過發送通用測量請求，開放服務也不會返回任何指紋信息或返回的指紋信息量很少且不可讀不可用于資源判斷，只有和開放服務進行相對...

【專利技術屬性】
技術研發人員：孫燕，趙春開，
申請(專利權)人：北京機沃科技有限公司，
類型：發明
國別省市：