[发明专利]基于自适应的网络端口快速扫描方法

说明书

技术领域

       本技术涉及网络测量技术领域，特别是一种基于自适应的网络端口快速扫描方法。

背景技术

每种操作系统都开放有不同的端口供系统间通信使用，入侵者如果想要探测目标计算机开放了哪些端口、提供了哪些服务，就需要先与目标端口建立TCP连接。尝试与目标主机某些端口建立连接，如果目标主机该端口有回应，则说明该端口开放。

端口扫描技术有多种，如：(1)全TCP连接：采用三次握手，与目标计算机建立标准TCP连接，但很容易被目标主机记录。(2)半打开式扫描(SYN扫描)：a.如果目标计算机回应TCP报文中SYN=1,ACK=1，说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手过程失败。b.如果目标计算机回应RST，则表示该端口是“ 死端口”，该情况扫描主机不做任何回应。由于扫描过程三次握手并未成功，大大降低了被目标计算机记录的可能，但是加快了扫描的速度。(3)FIN扫描：依靠发送FIN来判断目标计算机的指定端口是否活动。发送一个FIN=1的TCP报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST报文，但如果当FIN报文到一个活动端口时，该报文只是简单的丢掉，不会返回任何回应。可以看出，FIN扫描没有涉及任何TCP连接部分，因此比前两种都安全，称之为秘密扫描。

Nmap是一个常用的进行端口扫描的工具，用户可以设定被扫描的子网以及端口号，可以输出扫描目标的端口号、协议、服务名称和状态，端口状态分别用开放（open）、关闭（closed）、已过滤（filtered）和未过滤（unfiltered）表示。

目前的端口扫描存在的主要问题是一个主机的端口有65536个端口，而子网中的IP被开放的端口数量很少，如果希望能够扫描子网中的漏洞，需要对子网中的所有主机的所有端口进行扫描，导致被扫描的数量巨大，扫描流量一方面影响网络的正常运行，同时也需要消耗大量的时间进行扫描。

发明内容

本发明提供一种基于自适应的网络端口快速扫描方法，能够自适应地对网络中的端口进行扫描，以便能够尽快发现子网中的端口漏洞。

 一种基于自适应的网络端口快速扫描方法，其特征在于：

步骤一：设置一个被扫描子网的IP地址集合A，集合A初始值为用户设置的被扫描子网的IP地址集合，预先设置IP地址集合S，集合S的初始值为用户设置的IP地址集合，预先设置扫描端口集合P，集合P的初始为用户设置的扫描端口集合，设置一个IP端口集合R，集合R的初始为空，设置新端口集合NP，新端口集合NP初始为空，进入步骤二；

步骤二：从IP地址集合S中依次取出每个IP地址，对取出的IP地址的所有端口进行扫描，将扫描有应答的IP地址和端口的端口号加入到IP端口集合R中，同时将端口号加入到端口集合P中，当IP地址集合S中的所有IP地址被处理完成后，进入步骤三；否则，重复步骤二；

步骤三：从被扫描的子网地址集合A中将IP地址集合S中的IP地址删除，清空IP地址集合S，进入步骤四；

步骤四：从扫描端口集合P中逐个取出端口号，对与所取端口号相对应的子网地址集合A中的所有IP地址的端口进行依次扫描，将当前扫描中有应答的IP地址和端口的端口号加入到IP端口集合R中同时将IP地址加入到IP地址集合S中，进入步骤五；

步骤五：如果IP地址集合S为空，则输出IP地址集合R的结果，方法退出；否则进入步骤六；

步骤六：从IP地址集合S中依次取出每个IP地址，从所取IP地址的所有端口中剔除与端口集合P中相同的端口，再对剩余的端口进行扫描，将当前扫描中有应答的IP地址和端口的端口号加入到IP端口集合R中同时将端口号加入到新端口集合NP，进入步骤七；

步骤七：从被扫描的子网集合A中将IP地址集合S中的IP地址删除，清空IP地址集合S，如果新端口集合NP为空，则输出IP地址集合R，方法结束；否则进入到步骤八；

步骤八：从被扫描端口集合NP中逐个取出端口号，对与所取端口号相对应的子网地址集合A中的所有IP地址的端口进行依次扫描，将当前扫描中有应答的IP地址和端口的端口号加入到IP端口集合R中同时将IP地址加入到IP地址集合S中，进入步骤九；

步骤九：将端口集合NP中的所有端口号加入到端口集合P中，清空端口集合NP，回到步骤五。

与现有技术相比，本发明具有如下优点及有效效果：