◆饒 迎 翟易坤

一種區(qū)分訪問終端身份的端口開放方法

◆饒 迎 翟易坤

（中國電子科技集團公司電子科學研究院 北京 100041）

現(xiàn)有因特網(wǎng)采用的是不區(qū)分訪問終端身份的端口開放方法，使得服務終端的端口開放狀態(tài)很容易被惡意訪問終端掃描確認，進而被其攻擊或是利用。為此，本文提出了一種區(qū)分訪問終端身份的端口開放方法，服務終端僅對其永久信任的訪問終端無條件地開放端口，并提供所需的應用服務；僅在自身的資源使用量值未達到預設的最大閾值時，為其非永久信任的訪問終端開放特定的端口，且僅為其暫時信任的訪問終端提供所需的應用服務。該方法能夠增大惡意訪問終端攻擊或是利用服務終端的難度，提升服務終端的安全性能。

訪問終端身份；端口開放；安全

0 引言

在現(xiàn)有的因特網(wǎng)中，端口扮演著一個十分重要的角色，特別是一些為典型應用分配的知名端口，例如：HTTP（HyperText Transfer Protocol，超文本傳輸協(xié)議）使用的80端口。此外，當服務終端為特定應用提供服務時，服務終端將開放與該應用對應的端口，監(jiān)聽與該應用相關的請求，并提供相應的應用服務。例如：網(wǎng)頁服務器將開放80端口，監(jiān)聽HTTP請求并提供HTTP服務。不僅如此，一旦某臺服務終端開放某個特定端口，即是將該端口開放給整個因特網(wǎng)的所有訪問終端，且不會對訪問終端的身份加以區(qū)分。因此，因特網(wǎng)中的任意訪問終端都能將數(shù)據(jù)包發(fā)送至該臺服務終端。

現(xiàn)有因特網(wǎng)采用的不區(qū)分訪問終端身份的端口開放方法主要存在以下問題：在該方法的支持下，惡意訪問終端能夠通過端口掃描技術確認被掃描端口的開放狀態(tài)，并找到因特網(wǎng)中的脆弱服務終端，進而非法占用脆弱服務終端的資源，或是將脆弱服務終端作為工具以實施后續(xù)的網(wǎng)絡攻擊。更糟糕的是，一旦某個端口開放，所有發(fā)往該端口的數(shù)據(jù)包均將會從網(wǎng)絡層轉(zhuǎn)發(fā)至運輸層乃至應用層，而不論該數(shù)據(jù)包的來源是否是被信任的訪問終端，這使得惡意訪問終端更加容易消耗其它服務終端的資源，實現(xiàn)對其它服務終端的攻擊。

為此，本文提出了一種區(qū)分訪問終端身份的端口開放方法。該方法將訪問終端的身份劃分為兩大類別：永久信任的訪問終端與非永久信任的訪問終端。其中，非永久信任的訪問終端又分為兩大子類別：暫時信任的訪問終端與不信任的訪問終端。服務終端僅對其永久信任的訪問終端無條件地開放端口并提供所需的服務；僅在自身的資源使用量值未達到預設的最大閾值時，為其非永久信任的訪問終端動態(tài)分配用于獲取該服務終端應用服務的模擬端口號，且僅為其暫時信任的訪問終端提供所需的應用服務。如此，不信任的訪問終端無法獲取服務終端提供的應用服務，無法過多地占用服務終端的資源，難以實現(xiàn)對服務終端的攻擊。

1 區(qū)分訪問終端身份的端口開放方法

1.1訪問終端身份的分類方法

區(qū)分訪問終端身份的端口開放方法將訪問終端的身份分為兩大類別：永久信任的訪問終端與非永久信任的訪問終端。判斷訪問終端的身份類別的依據(jù)，是該訪問終端的IP地址是否存在于服務終端的永久信任終端列表中。若是，訪問終端的身份類別為永久信任的訪問終端；否則，訪問終端的身份類別為非永久信任的訪問終端。此外，非永久信任的訪問終端還將細分為兩個子類別：暫時信任的訪問終端與不信任的訪問終端。判斷訪問終端的身份子類別的依據(jù)，是該訪問終端所發(fā)送應用服務數(shù)據(jù)包中攜帶的訪問端口號，是否是接收該應用服務數(shù)據(jù)包的服務終端為其分配的模擬端口號。若是，訪問終端的身份子類別為暫時信任的訪問終端；否則，訪問終端的身份子類別是不信任的訪問終端。

特別指出的是，在永久信任終端列表中記錄有服務終端永久信任的全部訪問終端的IP地址。由于單個訪問終端的IP地址占用32比特（IPv4地址）或是128比特（IPv6地址）的存儲空間，因此，若是為服務終端永久信任的每個訪問終端均分配32比特或是128比特的存儲空間，當服務終端永久信任的訪問終端數(shù)目過多時，服務終端需要耗費大量的存儲空間記錄服務終端永久信任的若干訪問終端的IP地址，且服務終端需要耗費大量的計算資源與時間判斷訪問終端的IP地址是否存在于服務終端的永久信任終端列表中。為緩解上述問題，區(qū)分訪問終端身份的端口開放方法將采用Bloom Filter存儲服務終端的永久信任終端列表，記錄服務終端永久信任的若干訪問終端的IP地址。

1.2服務終端對連接請求數(shù)據(jù)包的處理流程

在區(qū)分訪問終端身份的端口開放方法中，服務終端對連接請求數(shù)據(jù)包的處理流程如圖1所示，具體包括如下步驟：

圖1 服務終端對連接請求數(shù)據(jù)包的處理流程

步驟1，當服務終端的網(wǎng)絡層接收到來自訪問終端的連接請求數(shù)據(jù)包時，服務終端將判斷訪問終端的身份類別。若訪問終端的身份類別是永久信任的訪問終端，執(zhí)行步驟2-4；若訪問終端的身份類別是非永久信任的訪問終端，執(zhí)行步驟5；

步驟2，服務終端的網(wǎng)絡層將接收到的連接請求數(shù)據(jù)包轉(zhuǎn)發(fā)至該服務終端的運輸層；

步驟3，服務終端的運輸層接受訪問終端的連接請求；

步驟4，服務終端返回一個連接允許數(shù)據(jù)包至訪問終端。此時，服務終端將端口無條件地開放給了它永久信任的訪問終端；

步驟5，服務終端判斷當前自身的資源使用量值（至少包括：寬帶使用量值、CPU使用量值、內(nèi)存使用量值）是否達到預設的最大閾值。若是，執(zhí)行步驟6；否則，執(zhí)行步驟7-9；

步驟6，服務終端丟棄訪問終端發(fā)送的連接請求數(shù)據(jù)包。此時，服務終端的資源使用量值達到預設的最大閾值，不向非永久信任的訪問終端開放任何端口；

步驟7，服務終端的網(wǎng)絡層將接收到的連接請求數(shù)據(jù)包轉(zhuǎn)發(fā)至服務終端的運輸層；

步驟8，服務終端的運輸層接受訪問終端的連接請求；

步驟9，服務終端為訪問終端動態(tài)地分配一個用于獲取后續(xù)應用服務的模擬端口號，并返回一個攜帶該模擬端口號的連接允許數(shù)據(jù)包至訪問終端。在此，模擬端口號（P）的具體計算公式為：P=hash（SIP,CIP,K,PT）mod 65535。其中，SIP為服務終端的IP地址、CIP為訪問終端的IP地址，K為服務終端自身的密鑰，PT為目的應用服務的真實端口號。此時，服務終端的資源使用量值未達到預設的最大閾值，有條件地向其非永久信任的訪問終端開放特定的端口。

1.3服務終端對應用服務數(shù)據(jù)包的處理流程

在區(qū)分訪問終端身份的端口開放方法中，服務終端對應用服務數(shù)據(jù)包的處理流程如圖2所示，具體包括如下步驟：

決策團隊從時效性、有效性、可操作性、完備性4個方面{c1,c2,c3,c4}衡量各個方案的優(yōu)劣。首先，決策人員利用CFGJ給出相關決策信息如表2所示；然后將CFGJ轉(zhuǎn)換為PD-HFLTS，如表3所示。

圖2 服務終端對應用服務數(shù)據(jù)包的處理流程

步驟1，當服務終端的網(wǎng)絡層接收到來自訪問終端的應用服務數(shù)據(jù)包時，服務終端將判斷訪問終端的身份類別。若訪問終端的身份類別是永久信任的訪問終端，執(zhí)行步驟2-3；若訪問終端的身份類別是非永久信任的訪問終端，執(zhí)行步驟4；

步驟2，服務終端的網(wǎng)絡層將接收到的應用服務數(shù)據(jù)包先后轉(zhuǎn)發(fā)至該服務終端的運輸層和應用層；

步驟3，服務終端的應用層將為訪問終端提供其所需的應用服務。此時，服務終端將端口無條件的開放給了其永久信任的訪問終端，并為該訪問終端提供所需的應用服務；

步驟4，服務終端判斷當前自身的資源使用量值是否達到預設的最大閾值。若是，執(zhí)行步驟5；否則，執(zhí)行步驟6；

步驟5，服務終端丟棄訪問終端發(fā)送的應用服務數(shù)據(jù)包。此時，服務終端的資源使用量值達到預設的最大閾值，不向非永久信任的訪問終端開放任何端口，也不為其提供應用服務；

步驟6，服務終端判斷訪問終端的身份子類別。若訪問終端的身份子類別是暫時信任的訪問終端，執(zhí)行步驟7-8；若訪問終端的身份子類別是不信任的訪問終端，執(zhí)行步驟9；

步驟7，服務終端的網(wǎng)絡層將接收到的應用服務數(shù)據(jù)包先后轉(zhuǎn)發(fā)至該服務終端的運輸層和應用層；

步驟8，服務終端的應用層將為訪問終端提供其所需的應用服務。此時，服務終端的資源使用量值未達到預設的最大閾值，有條件地為其暫時信任的訪問終端提供所需的應用服務；

步驟9，服務終端丟棄訪問終端發(fā)送的應用服務數(shù)據(jù)包。此時，服務終端的資源使用量值雖未達到預設的最大閾值，但仍拒絕為其不信任的訪問終端提供所需的應用服務。

2 優(yōu)勢分析

與現(xiàn)有因特網(wǎng)采用的不區(qū)分訪問終端身份的端口開放方法相比，在本文提出的區(qū)分訪問終端身份的端口開放方法中，服務終端僅對其永久信任的訪問終端無條件地開放端口。如此，非永久信任的訪問終端無法通過常規(guī)的端口掃描技術確認被掃描端口的真實開放狀態(tài)，被掃描服務終端的安全性將得到一定的保障。此外，服務終端僅在自身的資源使用量值未達到預設的最大閾值時，為其非永久信任的訪問終端動態(tài)地分配用于獲取該服務終端的應用服務的模擬端口號，且僅為其暫時信任的訪問終端提供所需的應用服務。如此，不信任的訪問終端無法將數(shù)據(jù)包傳遞至該服務終端的應用層，進而無法獲取該服務終端提供的應用服務，無法過多地占用該服務終端的資源，難以實現(xiàn)對該服務終端的攻擊。

3 結(jié)束語

本文提出了一種區(qū)分訪問終端身份的端口開放方法，使得服務終端能夠根據(jù)訪問終端的身份類別以及自身的資源使用量值，確定是否向訪問終端開放端口以及是否為訪問終端提供所需的應用服務。與現(xiàn)有因特網(wǎng)中采用的不區(qū)分訪問終端身份的端口開放方法相比，本文提出的新方法能夠增大惡意訪問終端攻擊或是利用服務終端的難度，提升服務終端的安全性能。

[1]李瑞民.網(wǎng)絡掃描技術揭秘[M].北京:機械工業(yè)出版社，2012.

[2]張玉清.網(wǎng)絡攻擊與防御技術[M].北京:清華大學出版社，2011.

[3]石利平.基于TCP協(xié)議的端口掃描技術[J].電腦開發(fā)與應用，2011.

[4]S Geravand，M Ahmadi. Bloom filter applications in network security:A state-of-the-art survey[J]. Computer Networks，2013.

[5]H Yan,J Guan.Survey of bloom filter[J]. Telecommunications Science，2010.

[6]劉元珍.Bloom Filter及其在網(wǎng)絡中的應用綜述[J].計算機應用與軟件，2013.

[7]Y Liu.Survey on bloom filter and its applications in networks[J].Computer Applications & Software，2013.

[8]陶敬，馬小博，趙娟等.基于資源可用性的主機異常檢測[J].電子科技大學學報，2007.