本技术涉及计算机,特别是涉及一种网络空间测绘方法、装置、扫描设备及存储介质。
背景技术:
1、随着网络环境的进一步复杂化和网络安全威胁的不断增加,识别网络空间中的资产情况变得愈发重要。网络资产测绘是指用一些技术方法来探测企业或公司在一定区域的互联网空间上存在的网络资产情况。目前,网络资产测绘一般采用主动探测方式,利用主动探测程序、扫描器、web爬虫等对域名及其对应的ip地址进行访问,以对企业内部网络资产进行全面而系统化的扫描和记录。
2、然而,传统的网络资产扫描方法采用串行传入方式,即按照顺序一个ip地址一个ip地址地对其所有待扫描端口进行扫描,存在一些局限性和安全风险。在这种方式下,由于集中地对相同ip地址进行大量端口扫描,容易被网络安全系统识别为潜在的网络威胁,进而触发安全防护机制,导致后续的协议识别数据包无法顺利送达目标设备。
技术实现思路
1、基于上述问题,本技术提供了一种网络空间测绘方法、装置、扫描设备及存储介质,旨在避免网络资产测绘时触发网络安全策略,影响测绘的正常实现。
2、本技术实施例公开了如下技术方案:
3、第一方面,本技术实施例公开了一种网络空间测绘方法,应用于扫描设备,所述方法包括:
4、获取待扫描ip列表和待扫描端口范围;
5、将所述待扫描端口范围划分为多个子范围;
6、将所述待扫描ip列表中的ip地址与所述多个子范围交叉组合;交叉组合的顺序中,至少两个子范围与同一ip地址的组合之间存在一个或多个子范围与其它ip地址的组合;
7、将所述待扫描ip列表中的ip地址与具有交叉组合关系的子范围中的端口号组合,构建得到多个待扫描信息组;所述待扫描信息组包括一个ip地址和一个端口号;
8、基于所述待扫描ip列表中的ip地址与所述多个子范围交叉组合的顺序,将构建得到的所述多个待扫描信息组加入待扫描队列;
9、将所述待扫描队列中取出的待扫描信息组中的ip地址和端口号分别作为目的ip和目的端口的端口号,构造同步序列编号syn包;
10、发送构造的所述syn包,并根据对所述syn包的响应进行协议识别和资产指纹识别。
11、可选地,所述根据对所述syn包的响应进行协议识别和资产指纹识别,包括:
12、根据接收到的响应的有效性,确定开放的待扫描信息组作为待协议识别信息组;
13、陆续将新确定出的待协议识别信息组加入待协议识别队列,期间从所述待协议识别队列中取出待协议识别信息组并对取出的待协议识别信息组进行协议识别和资产指纹识别。
14、可选地,所述从所述待协议识别队列中取出待协议识别信息组并对取出的待协议识别信息组进行协议识别和资产指纹识别,包括:
15、通过多个发包线程以并发方式从所述待协议识别队列中取出多个待协议识别信息组;
16、所述多个发包线程通过协议识别函数对各自取出的待协议识别信息组进行协议识别;
17、所述多个发包线程根据识别的协议、取出的待协议识别信息组中的ip地址和端口号,向对端的被扫描设备发送指定协议数据包;所述指定协议数据包用于查询所述被扫描设备的资产信息;
18、所述多个发包线程根据被扫描设备返回的响应数据包进行资产指纹识别。
19、可选地,所述根据被扫描设备返回的响应数据包进行资产指纹识别,包括:
20、提取所述响应数据包中的banner信息;
21、在指纹库中基于所述banner信息进行正则匹配,以获得资产指纹识别结果。
22、可选地,所述在指纹库中基于所述banner信息进行正则匹配,以获得资产指纹识别结果,包括:
23、在指纹库中查询是否存在与所述banner信息匹配的正则表达式,如果所述指纹库中存在与所述banner信息匹配的正则表达式,则基于所述正则表达式识别所述banner信息,获得所述被扫描设备的操作系统识别结果和服务识别结果;
24、如果所述指纹库中不存在与所述banner信息匹配的正则表达式,则将所述banner信息整理为正则表达式,将整理得到的正则表达式添加到所述指纹库中。
25、可选地,从所述待扫描队列中取出待扫描信息组、构造所述syn包以及发送所述syn包的操作通过发包线程实现;
26、接收对所述syn包的响应的步骤通过监听线程实现;所述发包线程与所述监听线程相互独立。
27、可选地,所述将所述待扫描队列中取出的待扫描信息组中的ip地址和端口分别作为目的ip和目的端口的端口号,构造同步序列编号syn包,包括:
28、创建原始套接字;所述原始套接字支持自定义报文的字段;
29、设置报文的多个字段;所述多个字段包括:源ip字段,目的ip字段,ip类型字段,源端口字段,目的端口字段,序列号字段和标志位字段;
30、识别所述目的ip的类型,将所述类型对应的类型参数填入所述ip类型字段;所述类型为ipv4或ipv6;
31、将所述目的ip和所述目的端口的端口号分别填入所述目的ip字段和所述目的端口字段,将所述扫描设备的ip地址和端口号分别填入所述源ip字段和所述源端口字段,在所述标志位字段填入s,所述s指示报文类型为syn报文,在所述序列号字段填入所述syn报文的编号;
32、在各字段填入结束后,基于所述原始套接字中各字段的内容构造syn包。
33、第二方面,本技术实施例公开了一种网络空间测绘装置,应用于扫描设备,所述装置包括:
34、端口扫描模块,用于获取待扫描ip列表和待扫描端口范围;将所述待扫描端口范围划分为多个子范围;将所述待扫描ip列表中的ip地址与所述多个子范围交叉组合;交叉组合的顺序中,至少两个子范围与同一ip地址的组合之间存在一个或多个子范围与其它ip地址的组合;将所述待扫描ip列表中的ip地址与具有交叉组合关系的子范围中的端口号组合,构建得到多个待扫描信息组;所述待扫描信息组包括一个ip地址和一个端口号;基于所述待扫描ip列表中的ip地址与所述多个子范围交叉组合的顺序,将构建得到的所述多个待扫描信息组加入待扫描队列;将所述待扫描队列中取出的待扫描信息组中的ip地址和端口号分别作为目的ip和目的端口的端口号,构造同步序列编号syn包并发送构造的所述syn包;
35、协议识别和资产指纹识别模块,用于根据对所述syn包的响应进行协议识别和资产指纹识别。
36、第三方面,本技术实施例公开了一种扫描设备,所述扫描设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如前述第一方面任一实现方式所介绍的网络空间测绘方法。
37、第四方面,本技术实施例公开了一种计算机存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如前述第一方面任一实现方式所介绍的网络空间测绘方法。
38、相较于现有技术,本技术具有以下有益效果:
39、1、通过将待扫描端口范围划分为多个子范围,与待扫描ip列表中的ip地址交叉组合,将待扫描ip列表中的ip地址与具有交叉组合关系的子范围中的端口号组合,构建得到多个待扫描信息组,基于待扫描ip列表中的ip地址与多个子范围交叉组合的顺序,将构建得到的多个待扫描信息组加入待扫描队列,避免集中扫描同一个ip地址的设备端口,降低了触发网络安全策略的风险,从而可以提高扫描效率,确保更全面准确地获取网络空间中的资产信息。
40、2、通过自行构造同步序列编号syn包的方式,不需要依赖于特定的扫描工具,由于采用自行组包发送的方式,可以灵活地构造ip和端口信息,从而实现ipv4和ipv6的混合扫描,提高了扫描的灵活性和可控性。
1.一种网络空间测绘方法,其特征在于,应用于扫描设备,所述方法包括:
2.根据权利要求1所述的网络空间测绘方法,其特征在于,所述根据对所述syn包的响应进行协议识别和资产指纹识别,包括:
3.根据权利要求2所述的网络空间测绘方法,其特征在于,所述从所述待协议识别队列中取出待协议识别信息组并对取出的待协议识别信息组进行协议识别和资产指纹识别,包括:
4.根据权利要求3所述的网络空间测绘方法,其特征在于,所述根据被扫描设备返回的响应数据包进行资产指纹识别,包括:
5.根据权利要求4所述的网络空间测绘方法,其特征在于,所述在指纹库中基于所述banner信息进行正则匹配,以获得资产指纹识别结果,包括:
6.根据权利要求1所述的网络空间测绘方法,其特征在于,
7.根据权利要求1所述的网络空间测绘方法,其特征在于,所述将所述待扫描队列中取出的待扫描信息组中的ip地址和端口分别作为目的ip和目的端口的端口号,构造同步序列编号syn包,包括:
8.一种网络空间测绘装置,其特征在于,应用于扫描设备,所述装置包括:
9.一种扫描设备,其特征在于,所述扫描设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如权利要求1-7任一项所述的网络空间测绘方法。
10.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-7任一项所述的网络空间测绘方法。
