端口信息探测工具的设计与实现(VC++)

目 录1引言11.1本课题研究的意义11.2本课题的研究方法22端口扫描概述22.1基本概念22.2端口扫描原理32.3端口扫描技术简介53检测端口扫描概述73.1端口扫描检测的分析73.2普通端口扫描检测技术概述83.3慢速端口扫描检测技术概述93.4端口扫描的分布式检测概述93.5主流的端口扫描工具114端口扫描的实现124.1扫描程序的设计原理124.2程序流程图125检测端口扫描的实现135.1检测程序的设计原理135.2程序流程图135.3设计实现重点代码146性能测试186.1端口扫描程序性能测试186.2检测端口扫描程序性能测试19结 论20参考文献21致 谢22

think58

[资料来源：http://think58.com]

在检测端口扫描程序的设计与开发中，这里首先是采取通过套接字来进行数据包的捕获，再通过解IP包，然后对所解出的TCP包和UDP包分别再进行解包，并记录下到达的端口，以及源IP地址，目的IP地址，目的端口，再设计一种算法，通过算法对数据包进行统计分析，最后设定一个判断发生扫描行为的条件，当满足条件有三次及三次以上的相同源IP且到达端口的不同的数据包即判断发生端口扫描行为。此检测端口扫描程序的设计不但可以检测一般的扫描和快速扫描，在一定的程度上也能检测慢速扫描。以前的端口扫描检测方法都是采用在一个固定的时间窗T内查看从同一个源地址发起的连接数X , 如果X 超出了设定的阀值, 则判断为一次扫描。由于网络上的通信量非常大, 所以以前的端口扫描方法都会设定一个很小的时间窗T ,防止消耗掉过多的内存和CPU时间。由于本文提出的方法与时间窗无关, 所以在不降低系统整体性能的前提下，在慢速扫描发送探测性数据包时间间隔上不超出所设计程序所能记录数据包的最大上限的情况下仍能很好的检测慢速扫描。 copyright think58 [资料来源：http://THINK58.com]

think58

[来源：http://www.think58.com]

在端口扫描程序设计完成后，用开发出的端口扫描程序作了一个性能演示，如下图6所示，扫描者通过扫描命令向IP为192.168.1.102的目标主机的1-10000端口进行了发送探测性数据包扫描，并根据回应显示目标主机的端口开放情况。 think58.com [来源：http://www.think58.com]

内容来自think58

[来源：http://www.think58.com]

图6 端口扫描效果显示图

本文来自think58

如图6显示，IP为192.168.1.102的目标主机在1-10000端口中，开放的端口有21，25，81，82，83，110，119，139，143。6.2检测端口扫描程序性能测试再用所开发的检测端口扫描程序作了测试，针对攻击者的扫描行为，捕获探测性数据包，并进行分析，当收到同一地址而且目的端口不同的数据包有3个时，能准确判断出来自扫描者的端口扫描行为。如下图7所示，当程序运行并有IP为192.168.1.7的扫描者向本机发起扫描时候，能显示IP为192.168.1.7的扫描者发起了端口扫描行为，能作出判断并显示出相应的信息。 本文来自think58 [资料来源：http://think58.com]