基于防火墙的端口扫描防护系统设计与实现

摘要

随着当今互连网络的飞速发展，网络的使用在社会各个方面不断延伸。人们在充分享受着互联网所带来的方便和高效的同时，也不断受到各种恶意攻击的侵扰，其中通过端口扫描来获取目标主机的信息更是成为网络入侵的关键，因此对该类攻击行为的防护显得非常重要。 目前通用的端口防护技术采用的方法是对收到的非正常数据包，构造一个代表被扫描端口处于关闭状态的数据包进行响应。但这种防护技术在遇到一个SYN标志被置位的TCP连接请求数据包后，被保护的主机信息就会泄漏。针对该问题，多种解决方案被提出，但均存在不同的缺陷，例如：网络安全研究人员George Kurtz提出通过限定连入的IP地址范围，减少端口扫描的发生；但是如果入侵者使用IP欺骗技术发出一个TCP-SYN的连接请求数据包，问题仍然会存在。 本文针对上述问题，以状态检测防火墙为基础，介绍了常见的端口扫描技术的原理和方法，并提出了新的端口扫描防护技术。其特点是构造一个代表被扫描端口处于开放状态的数据包对收到具有端口扫描特征的数据包响应，欺骗扫描者使其无法得到有效信息。另外，为了有效集成防火墙的防护能力以及效率问题，我们选择了在防火墙层面实现端口扫描防护技术。系统整个功能被实现为防火墙的一个插件模块，也可独立运行。 本文首先介绍了防火墙原理和相关技术以及windows操作系统下的网络数据包截获技术，然后描述了系统总体设计的结构和相关功能模块的实现，最后分析了系统测试结果，验证了该端口扫描防护技术的正确性和可行性，为今后进一步研究打下了坚实的基础。

目录

文摘

英文文摘

独创性声明及关于论文使用授权的说明

第一章绪论

1.1课题研究背景

1.2端口扫描检测防护技术的发展

1.2.1传统的端口扫描技术的检测防护

1.2.2改进后的端口扫描技术的检测防护

1.3本文的研究目的和意义

1.4论文的结构与内容安排

第二章防火墙原理及相关技术介绍

2.1防火墙原理

2.1.1防火墙定义及功能

2.1.2防火墙的分类

2.2防火墙技术

2.2.1包过滤技术

2.2.2应用代理网关技术

2.2.3状态检测技术

2.3主机防火墙相关技术

2.3.1主机防火墙技术概述

2.3.2主机防火墙的优、缺点

2.4网络协议及数据包格式

2.4.1 OSI模型

2.4.2 TCP/IP协议模型

2.4.3网络数据包格式

2.5 WINDOWS结构

2.5.1 Windows操作系统结构

2.5.2 Windows网络体系结构

2.6端口扫描原理及相关技术

2.6.1典型的入侵过程

2.6.2端口扫描器的工作原理

2.6.3端口扫描技术分类

2.7小结

第三章网络数据包的截获技术

3.1网络数据包截获的几种主要技术

3.1.1 Winsock2 SPI的技术特点

3.1.2 TDI过滤驱动程序技术的特点

3.1.3 NDIS中间层驱动程序技术的特点

3.2几种封包截获技术的比较

3.3小结

第四章系统的设计与实现

4.1系统的总体设计

4.1.1系统的设计思想与目标

4.1.2系统的总体结构

4.1.3系统的开发环境

4.2数据包截获模块的设计与实现

4.2.1 NDIS中间层驱动程序的初始化

4.2.2 NDIS中间层驱动程序相关函数的注册

4.2.3中间层驱动程序中数据包的管理

4.3数据包分析、过滤模块的设计与实现

4.3.1数据包分析、过滤模块的设计

4.3.2数据包分析、过滤模块的具体实现

4.4端口扫描防护模块的设计与实现

4.4.1端口扫描防护模块的设计思想

4.4.2端口扫描防护模块的具体实现

4.5控管规则结构和匹配算法的设计

4.5.1控管规则表结构的设计

4.5.2规则匹配算法的设计

4.6日志记录结构的设计

4.7控制台模块的设计

4.8小结

第五章系统测试

5.1测试环境

5.2测试方法和测试结果分析

5.2.1测试方法

5.2.2测试结果分析

5.3小结

第六章总结与展望

致谢

参考文献

个人简历、在校期间的研究成果及发表的学术论文