[发明专利]一种全网UDP端口扫描的防重放攻击方法

说明书

本发明涉及一种全网UDP端口扫描的防重放攻击方法，扫描端构建UDP报文，以目的IP设备对UDP报文头加密，发送加密后的IPv4全地址空间的UDP探测数据包，扫描端校验响应UDP报文，不是有效响应报文则丢弃，否则以发出有效响应报文的IP设备的IP地址和源端口计算得到关键词、以接收次数为值，与环形AVL树数组进行匹配，关键词超过接收次数上限则判为重放攻击，丢弃，否则扫描端接收处理有效响应报文。本发明有两道防御机制，维护成本低，扫描结果好，空间占用小且维持在可控范围，高效防御任意IP地址任意端口的USP报文重放攻击，提高网络空间安全测绘、资产扫描的准确度和效率，为全球网络空间测绘提供坚实的技术支撑。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种高效防御重放攻击的全网UDP端口扫描的防重放攻击方法。

背景技术

网络技术的应用已深刻影响、改变了人们的生产方式和生活方式，推动了社会各个方面的进步与发展，并在国民经济各个领域起着重要的推动和支撑作用。

端口扫描是指发送一组端口扫描报文，试图以此访问设备、获取设备的各种有用信息的一种方法。强大的端口扫描技术可以有效检测各种安全隐患和漏洞，并且生成详细的安全检测报告，兼容各种主流操作系统、防火墙、路由器等各种网络设备；而在端口扫描的过程中，总是不可避免的遭遇到重放攻击行为，攻击者重复发送一个扫描端已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程以及流量攻击，从而达到干扰端口扫描结果的目的。其中，重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，特别是在认证的过程中用于认证用户身份所接收的包，来达到欺骗系统的目的，主要被用于身份认证过程，破坏认证的安全性。

在网络扫描器对网络空间进行大范围安全扫描的过程中，会遭遇到网络上某些IP的恶意重放攻击，而传输层协议UDP由于其非面向连接的特性，受到重放攻击的概率会大大提升，如果不解决该问题，网络扫描器针对UDP端口服务的扫描效率以及正确性将会大大折扣，严重时会导致扫描端空间不足、宕机等情况的发生。

现有技术中，针对重放攻击主要通过2种技术方案，但是2种技术方案均存在一定弊端：

（1）通过黑白名单的方式，将发起过重放攻击的IP地址加入黑名单，当扫描端接收到的报文时，首先检查报文源IP是否在黑名单中，存在则丢弃，不存在则保留；这种方式虽然可以防御固定IP列表的重放攻击，但是如今大多攻击者都会伪装自身的源IP，源IP对于攻击者来说是一个可随意更换的变量，特别是在全网范围内防御重放攻击时，采用黑白名单方式不仅很难防御到攻击者，甚至还会导致在黑名单中的IP设备的端口信息采集不到；

（2）以接收报文的源IP地址和源端口为关键字，以接收到的次数为值建立AVL树结构，当扫描端接收到报文，直接根据源IP地址和源端口查询AVL树中对应的接收次数，超过设定上限次数则判定为重放攻击并丢弃，未超过则保留；这种方式中，UDP协议的源IP地址为32位，源端口为16位，以源IP地址和源端口为关键字则需要维护一个关键字为48位整数的AVL树，最多可能需要保存2的48次方个节点，当扫描端扫描全网时，重放攻击来自任意IP的任意端口，维护此AVL树将会消耗大量空间甚至将扫描端内存空间耗尽。

发明内容

为了解决现有技术中存在的问题，本发明提供一种优化的全网UDP端口扫描的防重放攻击方法，扫描端能在全网范围内高效防御来自任意IP地址任意端口的UDP报文重放攻击。

本发明所采用的技术方案是，一种全网UDP端口扫描的防重放攻击方法，所述方法包括以下步骤：

步骤1：模块初始化；环形AVL树数组初始化；

步骤2：扫描端构建UDP报文，以目的IP设备对UDP报文头进行加密，遍历IPv4全地址空间，向目的IP设备发送加密后的UDP探测数据包；