一种避免过多占用网络资源的TCP扫描方法与流程

【】本发明涉及网络通信领域，更具体地说，本发明涉及一种避免过多占用网络资源的tcp扫描方法。

背景技术

0、
背景技术：

1、网络扫描技术，即通过发送特殊协议的网络报文，去探测或者攻击远端或本地的端口或服务，并自动收集和记录目标主机的反馈信息，继而通过反馈信息分析出目标主机的系统版本、软件安装情况、安全漏洞等一系列结果，并生成分析报告供用户参考使用。

2、网络资源，网络环境中存在的流量信息和硬件设备。目前常见的网络环境中，都会部署各种各样的安全设备，如防火墙、waf、行为感知系统等。

3、在常见的以流量为基础资源做分析的安全设备(如防火墙)，在处理tcp业务的时候都是以建立tcp流的方式，而建立tcp流一般是以tcp握手的第一个报文syn。

4、在常见的网络扫描中，tcp扫描的首要条件是与目标主机建立tcp连接，所以会向不同的目标主机的不同端口发送tcp握手syn报文。

5、在常见的网络环境中，会存在未被分配的ip，主机上也会存在未被监听的端口，所以在进行tcp扫描的时候，安全设备会建立非常多的正常情况下不应存在的tcp流，在严重的情况下，发送的tcp握手包数量会超过安全设备的最大支持量，导致安全设备功能失效甚至导致网络断网。

技术实现思路

0、
技术实现要素：

1、为了克服现有技术的上述缺陷，本发明的目的是提供一种避免过多占用网络资源的tcp扫描方法，发送tcp握手包后500ms内，若未收到响应报文则马上发送tcp协议中的rst报文，使安全设备建立的流管理老化掉，从而回收管理资源，避免tcp扫描流数超过安全设备的最大限度而导致安全功能失效或网络断网。

2、为实现上述目的，本发明提供如下技术方案：一种避免过多占用网络资源的tcp扫描方法，基于tcp协议中的reset机制，该方法包括以下步骤：

3、s1、开启扫描线程，开启监听线程，开启管理线程；

4、s2、扫描线程将扫描的对象推送到管理线程；

5、s3、监听线程将监听到的对象更新到管理线程；

6、s4、管理线程判断对象是否在500ms内收到响应包，若收到，则不做任何处理；若没有收到，则向虚拟主机发送rst报文。

7、s5、安全设备收到rst报文，对建立的tcp流做老化处理，释放资源。

8、优选的，该tcp扫描方法包括扫描线程、监听线程、管理线程、安全设备、虚拟主机，所述的扫描进程设为起点，扫描进程之后设有监听线程，所述的监听线程后设有管理线程，管理线程向后设有安全设备，所述的安全设备向后连接虚拟主机。

9、优选的，所述的扫描线程是一个用于执行tcp扫描的线程，扫描线程负责发送具体的tcp请求，并等待目标主机返回响应，所述的扫描线程通过发送不同类型的tcp报文来探测目标主机的开放或关闭的端口状态。

10、优选的，所述的tcp报文包括syn、ack、rst报文。

11、优选的，所述的监听线程负责监听目标主机上的端口，监听线程会接收主机发送的tcp连接请求，根据请求的信息判断是否接受该连接请求，当监听线程接受连接请求后，将连接请求转发给管理线程进行处理。

12、优选的，所述的管理线程负责处理监听线程接受的连接请求，管理线程根据具体的扫描目的，对接收到的连接请求进行分析和判断，管理线程还能进行连接的状态维护和管理。

13、优选的，所述的安全设备用于保护网络安全和防御网络攻击的硬件或软件设备，在tcp扫描中，安全设备的作用是监测、检测和阻止潜在的安全威胁和攻击。

14、优选的，所述的安全设备包括防火墙、waf、行为感知系统。

15、优选的，所述的虚拟主机是指在网络中未被使用的ip地址。

16、与现有技术相比，本发明的有益效果是：本发明一种避免过多占用网络资源的tcp扫描方法，其基于tcp协议中的reset机制，使安全设备快速将tcp扫描所建立的不存在的流老化掉，从而回收管理资源，避免tcp扫描流数超过安全设备的最大限度而导致安全功能失效或网络断网。

技术特征：

1.一种避免过多占用网络资源的tcp扫描方法，其特征在于：基于tcp协议中的reset机制，该方法包括以下步骤：

2.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：该tcp扫描方法包括扫描线程、监听线程、管理线程、安全设备、虚拟主机，所述的扫描进程设置在起点，所述的扫描进程之后设有监听线程，所述的监听线程后设有管理线程，所述的管理线程向后设有安全设备，所述的安全设备向后连接虚拟主机。

3.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的扫描线程是一个用于执行tcp扫描的线程，扫描线程负责发送具体的tcp请求，并等待目标主机返回响应，所述的扫描线程通过发送不同类型的tcp报文来探测目标主机的开放或关闭的端口状态。

4.如权利要求3所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的tcp报文包括syn、ack、rst报文。

5.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的监听线程负责监听目标主机上的端口，监听线程会接收主机发送的tcp连接请求，根据请求的信息判断是否接受该连接请求，当监听线程接受连接请求后，将连接请求转发给管理线程进行处理。

6.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的管理线程负责处理监听线程接受的连接请求，管理线程根据具体的扫描目的，对接收到的连接请求进行分析和判断，管理线程还能进行连接的状态维护和管理。

7.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的安全设备用于保护网络安全和防御网络攻击的硬件或软件设备，在tcp扫描中，安全设备的作用是监测、检测和阻止潜在的安全威胁和攻击。

8.如权利要求7所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的安全设备包括防火墙、waf、行为感知系统。

9.如权利要求1所述的一种避免过多占用网络资源的tcp扫描方法，其特征在于：所述的虚拟主机是指在网络中未被使用的ip地址。

技术总结
本发明涉及网络通信技术领域，更具体地说是一种避免过多占用网络资源的TCP扫描方法，该方法包括开启扫描线程，开启监听线程，开启管理线程；扫描线程将扫描的对象推送到管理线程；监听线程将监听到的对象更新到管理线程；管理线程判断对象是否在500ms内收到响应包，若收到，则不做任何处理；若没有收到，则管理线程向虚拟主机发送RST报文；安全设备收到RST报文，对建立的TCP流做老化处理，释放资源。本发明一种避免过多占用网络资源的TCP扫描方法，其基于TCP协议中的RESET机制，使安全设备快速将TCP扫描所建立的不存在的流老化掉，从而回收管理资源，避免TCP扫描流数超过安全设备的最大限度而导致安全功能失效或网络断网。

技术研发人员：徐正,庞子敏,蔡显锋,白华频
受保护的技术使用者：徐正
技术研发日：
技术公布日：2024/4/24