本申請(qǐng)涉及網(wǎng)絡(luò)攻擊防御領(lǐng)域，尤其涉及一種掃描中控服務(wù)器的方法及裝置。

背景技術(shù)：

ddos攻擊是一種常用的網(wǎng)絡(luò)攻擊手段，也是最有效的網(wǎng)絡(luò)攻擊手段之一。攻擊者通過(guò)中央控制服務(wù)器，簡(jiǎn)稱c&c(commandandcontrol)server，控制僵尸網(wǎng)絡(luò)(botnet)中的傀儡機(jī)(被黑客入侵并控制的主機(jī)為傀儡機(jī))對(duì)目標(biāo)進(jìn)行ddos攻擊。在針對(duì)此種攻擊的防御中，c&c中控服務(wù)器是必爭(zhēng)之地，防御方如果能夠有效的識(shí)別出中控服務(wù)器，不僅能夠監(jiān)測(cè)攻擊的過(guò)程，而且能夠在合適的時(shí)間采取多種手段進(jìn)行針對(duì)性的防御，從而實(shí)現(xiàn)主動(dòng)防御。現(xiàn)有技術(shù)中，通過(guò)部署針對(duì)特定c&c控制協(xié)議的蜜罐系統(tǒng)收集c&c行為，或者通過(guò)tcpsyn掃描。

現(xiàn)有技術(shù)存在以下缺陷：(1)基于蜜罐的c&c中控服務(wù)器監(jiān)測(cè)技術(shù)是一種被動(dòng)防御技術(shù)，并不能夠主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)空間中的中控服務(wù)器。(2)tcpsyn掃描是通過(guò)發(fā)送第一個(gè)tcpsyn包來(lái)判斷端口的開(kāi)放情況，并不與該端口上開(kāi)放的服務(wù)進(jìn)行交互，所以也不能進(jìn)行中控服務(wù)器的識(shí)別。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)的一個(gè)目的是提供一種掃描中控服務(wù)器的方法及裝置，以實(shí)現(xiàn)對(duì)控制傀儡機(jī)發(fā)動(dòng)網(wǎng)絡(luò)攻擊的中控服務(wù)器的主動(dòng)掃描。

根據(jù)本申請(qǐng)的一方面，提供了一種掃描中控服務(wù)器的方法，其中，該方法包括以下步驟：

對(duì)傀儡機(jī)上的受控程序進(jìn)行協(xié)議分析，以提取出所述受控程序所使用的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征；

根據(jù)提取出的協(xié)議特征，生成掃描控制所述傀儡機(jī)的中控服務(wù)器所需的 規(guī)則文件；

基于生成的規(guī)則文件，在網(wǎng)絡(luò)中掃描控制所述傀儡機(jī)的中控服務(wù)器。

可選地，所述協(xié)議特征包括協(xié)議關(guān)鍵字，所述根據(jù)提取出的協(xié)議特征，生成掃描控制所述傀儡機(jī)的中控服務(wù)器所需的規(guī)則文件的步驟包括：

根據(jù)提取出的協(xié)議關(guān)鍵字生成用于構(gòu)造掃描所述中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字，以及用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征的結(jié)果匹配關(guān)鍵字。

可選地，基于生成的規(guī)則文件，在網(wǎng)絡(luò)中掃描控制所述傀儡機(jī)的中控服務(wù)器的步驟包括：

根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包；

接收各個(gè)服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包；

根據(jù)所述規(guī)則文件中的結(jié)果匹配關(guān)鍵字判斷接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征，以確定出控制所述傀儡機(jī)的中控服務(wù)器。

可選地，根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包的步驟包括：

根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字、以及網(wǎng)絡(luò)中的各個(gè)服務(wù)器的ip地址，生成針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包；

向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送所生成的針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包。

可選地，如果所述受控程序的傳輸層通信協(xié)議為tcp協(xié)議，則在根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包的步驟之前還包括：

向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送握手信號(hào)包，以建立與所述各個(gè)服務(wù)器的tcp連接；

接收所述各個(gè)服務(wù)器響應(yīng)于接收到的握手信號(hào)包而返回的確認(rèn)信號(hào)包；

響應(yīng)于接收到的網(wǎng)絡(luò)中的任意服務(wù)器返回的確認(rèn)信號(hào)包，向該服務(wù)器發(fā)送連接信號(hào)包，以建立與該服務(wù)器的tcp連接。

可選地，該方法還包括：

如果接收到任意服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包，則向該服務(wù)器發(fā)送連接復(fù)位數(shù)據(jù)包，以關(guān)閉與該服務(wù)器的tcp連接。

根據(jù)本申請(qǐng)的另一方面，還提供了一種掃描中控服務(wù)器的裝置，其中，該裝置包括：

協(xié)議分析單元，用于對(duì)傀儡機(jī)上的受控程序進(jìn)行協(xié)議分析，以提取出所述受控程序所使用的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征；

規(guī)則文件生成單元，用于根據(jù)提取出的協(xié)議特征，生成掃描控制所述傀儡機(jī)的中控服務(wù)器所需的規(guī)則文件；

掃描單元，用于基于生成的規(guī)則文件，在網(wǎng)絡(luò)中掃描控制所述傀儡機(jī)的中控服務(wù)器。

可選地，所述協(xié)議特征包括協(xié)議關(guān)鍵字，所述規(guī)則文件生成單元進(jìn)一步用于：

根據(jù)提取出的協(xié)議關(guān)鍵字生成用于構(gòu)造掃描所述中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字，以及用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征的結(jié)果匹配關(guān)鍵字。

可選地，所述掃描單元包括：

掃描數(shù)據(jù)包發(fā)送單元，用于根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包；

應(yīng)答數(shù)據(jù)包接收單元，用于接收各個(gè)服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包；

中控服務(wù)器確定單元，用于根據(jù)所述規(guī)則文件中的結(jié)果匹配關(guān)鍵字判斷接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征，以確定出控制所述傀儡機(jī)的中控服務(wù)器。

可選地，所述掃描數(shù)據(jù)包發(fā)送單元進(jìn)一步用于：

根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字、以及網(wǎng)絡(luò)中的各個(gè)服務(wù)器的ip地址，生成針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包；

向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送所生成的針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包。

可選地，如果所述受控程序的傳輸層通信協(xié)議為tcp協(xié)議，則所述掃描 單元還包括：

握手信號(hào)包發(fā)送單元，用于向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送握手信號(hào)包；

確認(rèn)信號(hào)包接收單元，用于接收各個(gè)服務(wù)器響應(yīng)于接收到的握手信號(hào)包而返回的確認(rèn)信號(hào)包；

tcp連接建立單元，用于響應(yīng)于接收到的網(wǎng)絡(luò)中的任意服務(wù)器返回的確認(rèn)信號(hào)包，向該服務(wù)器發(fā)送連接信號(hào)包，以建立與該服務(wù)器的tcp連接。

可選地，所述掃描單元還包括：

tcp連接關(guān)閉單元，用于如果接收到任意服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包，則向該服務(wù)器發(fā)送連接復(fù)位數(shù)據(jù)包，以關(guān)閉與該服務(wù)器的tcp連接。

與現(xiàn)有技術(shù)相比，本申請(qǐng)的實(shí)施例具有以下優(yōu)點(diǎn)：

(1)本申請(qǐng)?jiān)诜治隹軝C(jī)與其中控服務(wù)器之間的通信協(xié)議的基礎(chǔ)上，針對(duì)整個(gè)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行掃描，以掃描出符合所述通信協(xié)議的協(xié)議特征的服務(wù)器，從而確定為控制所述傀儡機(jī)的中控服務(wù)器，實(shí)現(xiàn)了中控服務(wù)器的主動(dòng)探測(cè)。

(2)本申請(qǐng)針對(duì)tpc協(xié)議，通過(guò)建立與網(wǎng)絡(luò)中的各個(gè)服務(wù)器的tcp連接對(duì)各個(gè)服務(wù)器進(jìn)行掃描，能夠與控制傀儡機(jī)的中控服務(wù)器上的主控程序進(jìn)行通信，從而識(shí)別出網(wǎng)絡(luò)中的中控服務(wù)器。并且本申請(qǐng)?jiān)趻呙杈W(wǎng)絡(luò)中的中控服務(wù)器的過(guò)程中，數(shù)據(jù)包的發(fā)送流程與數(shù)據(jù)包的接收和處理流程相對(duì)獨(dú)立，即，采用無(wú)狀態(tài)掃描的方式，提高了掃描的速率。

附圖說(shuō)明

通過(guò)閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述，本申請(qǐng)的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯：

圖1為本申請(qǐng)實(shí)施例提供的方法的流程圖；

圖2為圖1中的步驟s130的一種具體實(shí)施方式的流程圖；

圖3為圖2的步驟s134的具體流程圖；

圖4為圖1中的步驟s130的另一種具體實(shí)施方式的流程圖；

圖5為圖1中的步驟s130的又一種具體實(shí)施方式的流程圖；

圖6為本申請(qǐng)一個(gè)實(shí)施例提供的裝置示意圖；

圖7為本申請(qǐng)實(shí)施例提供的裝置中掃描單元230的一種實(shí)施方式示意圖；

圖8為本申請(qǐng)實(shí)施例提供的裝置中掃描單元230的另一種實(shí)施方式的示意圖；

圖9為本申請(qǐng)實(shí)施例提供的裝置中掃描單元230的又一種實(shí)施方式的示意圖。

附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。

具體實(shí)施方式

在更加詳細(xì)地討論示例性實(shí)施例之前應(yīng)當(dāng)提到的是，一些示例性實(shí)施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項(xiàng)操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時(shí)實(shí)施。此外，各項(xiàng)操作的順序可以被重新安排。當(dāng)其操作完成時(shí)所述處理可以被終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對(duì)應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。

在上下文中所稱“計(jì)算機(jī)設(shè)備”，也稱為“電腦”，是指可以通過(guò)運(yùn)行預(yù)定程序或指令來(lái)執(zhí)行數(shù)值計(jì)算和/或邏輯計(jì)算等預(yù)定處理過(guò)程的智能電子設(shè)備，其可以包括處理器與存儲(chǔ)器，由處理器執(zhí)行在存儲(chǔ)器中預(yù)存的存續(xù)指令來(lái)執(zhí)行預(yù)定處理過(guò)程，或是由asic、fpga、dsp等硬件執(zhí)行預(yù)定處理過(guò)程，或是由上述二者組合來(lái)實(shí)現(xiàn)。計(jì)算機(jī)設(shè)備包括但不限于服務(wù)器、個(gè)人電腦、筆記本電腦、平板電腦、智能手機(jī)等。

所述計(jì)算機(jī)設(shè)備包括用戶設(shè)備與網(wǎng)絡(luò)設(shè)備。其中，所述用戶設(shè)備包括但不限于電腦、智能手機(jī)、pda等；所述網(wǎng)絡(luò)設(shè)備包括但不限于單個(gè)網(wǎng)絡(luò)服務(wù)器、多個(gè)網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計(jì)算(cloudcomputing)的由大量計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云，其中，云計(jì)算是分布式計(jì)算的一種，由一群松散耦合的計(jì)算機(jī)集組成的一個(gè)超級(jí)虛擬計(jì)算機(jī)。其中，所述計(jì)算機(jī)設(shè)備可單獨(dú)運(yùn)行來(lái)實(shí)現(xiàn)本申請(qǐng)，也可接入網(wǎng)絡(luò)并通過(guò)與網(wǎng)絡(luò)中的其他計(jì)算機(jī)設(shè)備的交互操作來(lái)實(shí)現(xiàn)本申請(qǐng)。其中，所述計(jì)算機(jī)設(shè)備所處的網(wǎng) 絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、vpn網(wǎng)絡(luò)等。

需要說(shuō)明的是，所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)等僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計(jì)算機(jī)設(shè)備或網(wǎng)絡(luò)如可適用于本申請(qǐng)，也應(yīng)包含在本申請(qǐng)保護(hù)范圍以內(nèi)，并以引用方式包含于此。

后面所討論的方法(其中一些通過(guò)流程圖示出)可以通過(guò)硬件、軟件、固件、中間件、微代碼、硬件描述語(yǔ)言或者其任意組合來(lái)實(shí)施。當(dāng)用軟件、固件、中間件或微代碼來(lái)實(shí)施時(shí)，用以實(shí)施必要任務(wù)的程序代碼或代碼段可以被存儲(chǔ)在機(jī)器或計(jì)算機(jī)可讀介質(zhì)(比如存儲(chǔ)介質(zhì))中。(一個(gè)或多個(gè))處理器可以實(shí)施必要的任務(wù)。

這里所公開(kāi)的具體結(jié)構(gòu)和功能細(xì)節(jié)僅僅是代表性的，并且是用于描述本申請(qǐng)的示例性實(shí)施例的目的。但是本申請(qǐng)可以通過(guò)許多替換形式來(lái)具體實(shí)現(xiàn)，并且不應(yīng)當(dāng)被解釋成僅僅受限于這里所闡述的實(shí)施例。

應(yīng)當(dāng)理解的是，雖然在這里可能使用了術(shù)語(yǔ)“第一”、“第二”等等來(lái)描述各個(gè)單元，但是這些單元不應(yīng)當(dāng)受這些術(shù)語(yǔ)限制。使用這些術(shù)語(yǔ)僅僅是為了將一個(gè)單元與另一個(gè)單元進(jìn)行區(qū)分。舉例來(lái)說(shuō)，在不背離示例性實(shí)施例的范圍的情況下，第一單元可以被稱為第二單元，并且類似地第二單元可以被稱為第一單元。這里所使用的術(shù)語(yǔ)“和/或”包括其中一個(gè)或更多所列出的相關(guān)聯(lián)項(xiàng)目的任意和所有組合。

這里所使用的術(shù)語(yǔ)僅僅是為了描述具體實(shí)施例而不意圖限制示例性實(shí)施例。除非上下文明確地另有所指，否則這里所使用的單數(shù)形式“一個(gè)”、“一項(xiàng)”還意圖包括復(fù)數(shù)。還應(yīng)當(dāng)理解的是，這里所使用的術(shù)語(yǔ)“包括”和/或“包含”規(guī)定所陳述的特征、整數(shù)、步驟、操作、單元和/或組件的存在，而不排除存在或添加一個(gè)或更多其他特征、整數(shù)、步驟、操作、單元、組件和/或其組合。

還應(yīng)當(dāng)提到的是，在一些替換實(shí)現(xiàn)方式中，所提到的功能/動(dòng)作可以按照不同于附圖中標(biāo)示的順序發(fā)生。舉例來(lái)說(shuō)，取決于所涉及的功能/動(dòng)作，相繼示出的兩幅圖實(shí)際上可以基本上同時(shí)執(zhí)行或者有時(shí)可以按照相反的順序來(lái)執(zhí)行。

傀儡機(jī)：也叫肉雞，是指是被黑客遠(yuǎn)程控制的計(jì)算機(jī)。黑客可以隨意 操縱傀儡機(jī)并利用它做任何事情，例如發(fā)動(dòng)網(wǎng)絡(luò)攻擊等。

中控服務(wù)器：中央控制服務(wù)器，也稱c&c(command-and-control)server。黑客利用中控服務(wù)器統(tǒng)一發(fā)送指令給受控的傀儡機(jī)(肉雞)，例如，向傀儡機(jī)發(fā)送網(wǎng)絡(luò)攻擊指令，以控制傀儡機(jī)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

受控程序：是指黑客安裝在傀儡機(jī)上用于控制傀儡機(jī)的程序，黑客通過(guò)中控服務(wù)器上安裝的主控程序與傀儡機(jī)上的受控程序進(jìn)行通信，以達(dá)到控制傀儡機(jī)的目的。

協(xié)議分析：本申請(qǐng)中協(xié)議分析是指對(duì)網(wǎng)絡(luò)通信協(xié)議進(jìn)行分析，提取出網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征，其中，提取的協(xié)議特征主要包括協(xié)議類型、端口號(hào)和協(xié)議關(guān)鍵字等。

協(xié)議類型：例如，傳輸層協(xié)議的協(xié)議類型包括tcp協(xié)議、udp協(xié)議等，應(yīng)用層協(xié)議的協(xié)議類型包括ftp協(xié)議、http協(xié)議等。

端口號(hào)：端口通常包括物理端口和邏輯端口，本申請(qǐng)中端口是指邏輯端口。邏輯端口就是邏輯上用于區(qū)分不同的服務(wù)的端口，例如，web服務(wù)、ftp服務(wù)等。端口通過(guò)端口號(hào)來(lái)標(biāo)記，端口號(hào)為整數(shù)，范圍從0到65535。

協(xié)議關(guān)鍵字：是指進(jìn)行網(wǎng)絡(luò)通信時(shí)發(fā)送方發(fā)送的數(shù)據(jù)包與接收方返回的應(yīng)答數(shù)據(jù)包進(jìn)行匹配的字段。

規(guī)則文件：包含數(shù)據(jù)包構(gòu)造部分和結(jié)果匹配部分。其中，數(shù)據(jù)包構(gòu)造部分為用于構(gòu)造掃描中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字；結(jié)果匹配部分為用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征的結(jié)果匹配關(guān)鍵字。

下面結(jié)合附圖對(duì)本申請(qǐng)作進(jìn)一步詳細(xì)描述。

圖1為本申請(qǐng)一個(gè)實(shí)施例的掃描中控服務(wù)器的方法流程圖。根據(jù)本申請(qǐng)的方法1至少包括步驟110、步驟120和步驟130。

參考圖1，在步驟110中，對(duì)傀儡機(jī)上的受控程序進(jìn)行協(xié)議分析，以提取出所述受控程序所使用的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征。

所述網(wǎng)絡(luò)通信協(xié)議為控制所述傀儡機(jī)的中控服務(wù)器(c&cserver)與所述傀儡機(jī)進(jìn)行通信所使用的網(wǎng)絡(luò)通信協(xié)議。黑客入侵互聯(lián)網(wǎng)上的多個(gè)主機(jī)獲 取控制權(quán)(例如，通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī))，通過(guò)在每臺(tái)被入侵的主機(jī)中植入的受控程序?qū)ζ溥M(jìn)行控制，其中，被黑客入侵并控制的主機(jī)為傀儡機(jī)。黑客通過(guò)中控服務(wù)器可以控制這些傀儡機(jī)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，例如ddos攻擊。中控服務(wù)器被黑客事先安裝了主控程序，用于與傀儡機(jī)上的受控程序進(jìn)行通信，以控制傀儡機(jī)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。中控服務(wù)器(主控程序)通過(guò)預(yù)先約定的網(wǎng)絡(luò)通信協(xié)議與多個(gè)傀儡機(jī)(受控程序)進(jìn)行網(wǎng)絡(luò)通信，以便向傀儡機(jī)下達(dá)發(fā)動(dòng)網(wǎng)絡(luò)攻擊的指令。

在一種具體的實(shí)施方式中，在任意一臺(tái)傀儡機(jī)上進(jìn)行抓包分析，以分析傀儡機(jī)上被植入的受控程序所使用的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征，抓包分析時(shí)可以使用現(xiàn)有的抓包軟件。所述協(xié)議特征包括但不限于：協(xié)議類型、端口號(hào)、協(xié)議關(guān)鍵字。其中，協(xié)議類型包括傳輸層協(xié)議，如，tcp協(xié)議、udp協(xié)議等，以及應(yīng)用層的協(xié)議。一些通信協(xié)議會(huì)使用固定的端口，對(duì)于長(zhǎng)時(shí)間使用固定的端口的通信協(xié)議，可以獲取該固定的端口的端口號(hào)作為一個(gè)協(xié)議特征，以便在進(jìn)行掃描時(shí)根據(jù)端口號(hào)向該固定的端口發(fā)送掃描數(shù)據(jù)包。協(xié)議關(guān)鍵字是指進(jìn)行網(wǎng)絡(luò)通信時(shí)發(fā)送方發(fā)送的數(shù)據(jù)包與接收方返回的應(yīng)答數(shù)據(jù)包進(jìn)行匹配的字段，在本實(shí)施例中用于檢測(cè)網(wǎng)絡(luò)中的服務(wù)器返回的應(yīng)答數(shù)據(jù)包是否符合受控程序的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征，如果任意服務(wù)器返回的應(yīng)答數(shù)據(jù)包符合所述網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征，則該服務(wù)器為控制所述傀儡機(jī)的中控服務(wù)器。

參考圖1，在步驟120中，根據(jù)提取出的協(xié)議特征，生成掃描控制所述傀儡機(jī)的中控服務(wù)器所需的規(guī)則文件。

所述規(guī)則文件包括數(shù)據(jù)包構(gòu)造部分以及結(jié)果匹配部分。所述數(shù)據(jù)包構(gòu)造部分為用于構(gòu)造掃描中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字；所述結(jié)果匹配部分為用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征的結(jié)果匹配關(guān)鍵字，也就是預(yù)期應(yīng)答結(jié)果。具體而言，可以根據(jù)提取出的協(xié)議關(guān)鍵字生成用于構(gòu)造掃描中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字，以及用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征的結(jié)果匹配關(guān)鍵字。

以遠(yuǎn)程控制軟件control2.14為例，遠(yuǎn)程控制軟件control2.14的一個(gè)協(xié)議 特征為當(dāng)與服務(wù)器建立tcp連接之后，發(fā)送一個(gè)data字段為\x44\x45\x41\x54\x48\x51\x17\x00\x00\x00\x01\x00\x00\x00\x1a\xba\xb1\xd7\x2e\x96\xa6\x28\x42的tcp數(shù)據(jù)包至服務(wù)器時(shí)，服務(wù)器會(huì)返回一個(gè)帶有\(zhòng)x44\x45\x41\x54\x48\x51\x17\x00\x00\x00\x01\x00\x00\x00\x1a\xba\x49\xd9\x2e\x96\x3f\x28\xdb的tcp數(shù)據(jù)包，根據(jù)這個(gè)協(xié)議特征，可生成規(guī)則文件如下：

數(shù)據(jù)包構(gòu)造關(guān)鍵字為：

{$hex}44：45：41：54：48：51：17：00：00：00：01：00：00：00：1a：ba：b1：d7：2e：96：a6：28：42；

結(jié)果匹配關(guān)鍵字為：

{$hex}44：45：41：54：48：51：17：00：00：00：01：00：00：00：1a：ba：49：d9：2e：96：3f：28：db。

參考圖1，在步驟130中，基于生成的規(guī)則文件，在網(wǎng)絡(luò)中掃描控制所述傀儡機(jī)的中控服務(wù)器。

步驟s130具體包括步驟s134、步驟s135和步驟s136。

參考圖2，在步驟s134中，根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包。

參考圖3，步驟s134具體可以包括以下子步驟：

步驟s1341，根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字、以及網(wǎng)絡(luò)中的各個(gè)服務(wù)器的ip地址，生成針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包；

其中，生成的針對(duì)各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包中包括但不限于所述數(shù)據(jù)包構(gòu)造關(guān)鍵字、服務(wù)器的ip地址、目標(biāo)端口號(hào)。

該掃描數(shù)據(jù)包的構(gòu)造可以參考以下構(gòu)造：

{$hex}——數(shù)據(jù)包構(gòu)造關(guān)鍵字(十六進(jìn)制數(shù)據(jù))

{$autoip}——當(dāng)前掃描的服務(wù)器的ip地址

{$autoport}——當(dāng)前掃描端口(目標(biāo)端口號(hào))

優(yōu)選地，若協(xié)議分析所提取出的協(xié)議特征為網(wǎng)絡(luò)協(xié)議的固定端口號(hào)，則當(dāng)前掃描端口號(hào)為該提取出的端口號(hào)，可以進(jìn)行有針對(duì)性的掃描，從而提高掃描的效率。

步驟s1342中，向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送所生成的針對(duì)所述各個(gè)服務(wù) 器進(jìn)行掃描的掃描數(shù)據(jù)包。

具體而言，可以將生成的針對(duì)各個(gè)服務(wù)器的掃描數(shù)據(jù)包放入發(fā)包隊(duì)列中，以便向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送。

參考圖2，在步驟s135中，接收各個(gè)服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包。

網(wǎng)絡(luò)中的服務(wù)器接收到掃描數(shù)據(jù)包，則返回應(yīng)答數(shù)據(jù)包。

參考圖2，在步驟s136中，根據(jù)所述規(guī)則文件中的結(jié)果匹配關(guān)鍵字判斷接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征，以確定出控制所述傀儡機(jī)的中控服務(wù)器。

具體地，判斷接收到的各個(gè)服務(wù)器返回的應(yīng)答數(shù)據(jù)包是否包含所述規(guī)則文件中的結(jié)果匹配關(guān)鍵字。如果任意服務(wù)器返回的應(yīng)答數(shù)據(jù)包中包含該結(jié)果匹配關(guān)鍵字，則可以將該服務(wù)器確定為控制所述傀儡機(jī)的中控服務(wù)器。例如，根據(jù)在步驟s120生成的規(guī)則文件，向各個(gè)服務(wù)器發(fā)送包含數(shù)據(jù)包構(gòu)造關(guān)鍵字44：45：41：54：48：51：17：00：00：00：01：00：00：00：1a：ba：b1：d7：2e：96：a6：28：42的數(shù)據(jù)包，如果接收到任意服務(wù)器返回的應(yīng)答數(shù)據(jù)包中包含結(jié)果匹配關(guān)鍵字：44：45：41：54：48：51：17：00：00：00：01：00：00：00：1a：ba：49：d9：2e：96：3f：28：db的數(shù)據(jù)包，則可以將該服務(wù)器確定為控制所述傀儡機(jī)的中控服務(wù)器。

上述實(shí)施例中，所述根據(jù)所述規(guī)則文件向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包的步驟、與執(zhí)行所述接收各個(gè)服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包的步驟為相互獨(dú)立的流程。也就是說(shuō)，發(fā)送數(shù)據(jù)包的流程和接收數(shù)據(jù)包的流程相互獨(dú)立，從而實(shí)現(xiàn)了無(wú)狀態(tài)掃描，提升了掃描的速度。

參考圖4，基于上述實(shí)施例，如果所述受控程序的傳輸層通信協(xié)議為tcp協(xié)議，則在根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包的步驟s134之前，步驟s130還包括步驟s131、步驟s132和步驟s133。

在步驟s131中，向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送握手信號(hào)包。其中，發(fā)包線程發(fā)送請(qǐng)求建立連接的第一次握手的握手信號(hào)包syn。

在步驟s132中，接收所述各個(gè)服務(wù)器響應(yīng)于接收到的握手信號(hào)包而返回的確認(rèn)信號(hào)包。接收線程接收任意服務(wù)器返回的第二次握手syn+ack包。

在步驟s133中，響應(yīng)于接收到的網(wǎng)絡(luò)中的任意服務(wù)器返回的確認(rèn)信號(hào)包，向該服務(wù)器發(fā)送連接信號(hào)包，以建立與該服務(wù)器的tcp連接。

當(dāng)接收線程接收到任意服務(wù)器返回的確認(rèn)信號(hào)syn+ack包時(shí)，通知發(fā)包線程，發(fā)包線程向該服務(wù)器發(fā)送第三次握手的ack+seq包以及針對(duì)該服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包。

在上述步驟中，通過(guò)建立與網(wǎng)絡(luò)中的各個(gè)服務(wù)器的tcp連接，能夠與各個(gè)服務(wù)器進(jìn)行通訊，從而能夠與中控服務(wù)器上的主控程序進(jìn)行通信，并識(shí)別出控制所述傀儡機(jī)的中控服務(wù)器。

并且，在上述步驟中，當(dāng)接收到網(wǎng)絡(luò)中的任意服務(wù)器返回的確認(rèn)信號(hào)包時(shí)，向該服務(wù)器發(fā)送連接信號(hào)包以及掃描數(shù)據(jù)包，數(shù)據(jù)包的發(fā)送流程與接收和處理流程能夠相對(duì)獨(dú)立，即，實(shí)現(xiàn)了無(wú)狀態(tài)掃描，提高了掃描速率。

參考圖5，基于上述實(shí)施例，步驟s130還包括步驟s137。

在步驟s137中，如果接收到任意服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包，則向該服務(wù)器發(fā)送連接復(fù)位數(shù)據(jù)包，以關(guān)閉與該服務(wù)器的tcp連接。

如果接收到任意服務(wù)器返回的應(yīng)答數(shù)據(jù)包，則可以根據(jù)該應(yīng)答數(shù)據(jù)包判斷該服務(wù)器是否為控制所述傀儡機(jī)的中控服務(wù)器，不再需要與該服務(wù)器的tcp連接，則可以關(guān)閉與該服務(wù)器的tcp連接。

由于tcp協(xié)議的重傳機(jī)制，如果不主動(dòng)確認(rèn)接收，則被掃描的服務(wù)器會(huì)多次重傳確認(rèn)數(shù)據(jù)包，因此當(dāng)接收到任意服務(wù)器返回的應(yīng)答數(shù)據(jù)包，可以通知數(shù)據(jù)包發(fā)送線程向該服務(wù)器發(fā)送連接復(fù)位數(shù)據(jù)包(rst數(shù)據(jù)包)，以主動(dòng)關(guān)閉與該服務(wù)器的tcp連接。

本申請(qǐng)?jiān)诜治隹軝C(jī)上安裝的受控程序所使用網(wǎng)絡(luò)通信協(xié)議(即，傀儡機(jī)與中控服務(wù)器進(jìn)行通信所使用的網(wǎng)絡(luò)通信協(xié)議)的基礎(chǔ)上，針對(duì)整個(gè)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行掃描，以掃描出符合所述通信協(xié)議的協(xié)議特征的服務(wù)器，從而確定為控制所述傀儡機(jī)的中控服務(wù)器，實(shí)現(xiàn)了中控服務(wù)器的主動(dòng)探測(cè)。本申請(qǐng)針對(duì)傳輸層協(xié)議為tpc協(xié)議的受控程序，通過(guò)建立與網(wǎng)絡(luò)中的各個(gè)服務(wù)器的tcp連接對(duì)各個(gè)服務(wù)器進(jìn)行掃描，能夠與中控服務(wù)器上的主控程序進(jìn)行通信，從而識(shí)別出網(wǎng)絡(luò)中的中控服務(wù)器。本申請(qǐng)?jiān)趻呙杈W(wǎng)絡(luò) 中的中控服務(wù)器的過(guò)程中，數(shù)據(jù)包的發(fā)送流程與數(shù)據(jù)包的接收和處理流程相對(duì)獨(dú)立，即，采用無(wú)狀態(tài)掃描的方式，提高了掃描的速率。

基于與方法同樣的發(fā)明構(gòu)思，本申請(qǐng)還提供一種掃描中控服務(wù)器的裝置。圖6所示為掃描中控服務(wù)器的裝置2示意圖，該裝置包括：

協(xié)議分析單元210，用于對(duì)傀儡機(jī)上的受控程序進(jìn)行協(xié)議分析，以提取出所述受控程序所使用的網(wǎng)絡(luò)通信協(xié)議的協(xié)議特征；

規(guī)則文件生成單元220，用于根據(jù)提取出的協(xié)議特征，生成掃描控制所述傀儡機(jī)的中控服務(wù)器所需的規(guī)則文件；

掃描單元230，用于基于生成的規(guī)則文件，在網(wǎng)絡(luò)中掃描控制所述傀儡機(jī)的中控服務(wù)器。

可選地，所述協(xié)議特征包括協(xié)議關(guān)鍵字，所述規(guī)則文件生成單元220進(jìn)—步用于：

根據(jù)提取出的協(xié)議關(guān)鍵字生成用于構(gòu)造掃描所述中控服務(wù)器的掃描數(shù)據(jù)包的數(shù)據(jù)包構(gòu)造關(guān)鍵字，以及用于檢測(cè)接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征的結(jié)果匹配關(guān)鍵字。

參考圖7，基于上述實(shí)施例，所述掃描單元230包括：

掃描數(shù)據(jù)包發(fā)送單元234，用于根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送掃描數(shù)據(jù)包；

應(yīng)答數(shù)據(jù)包接收單元235，用于接收各個(gè)服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包；

中控服務(wù)器確定單元236，用于根據(jù)所述規(guī)則文件中的結(jié)果匹配關(guān)鍵字判斷接收到的應(yīng)答數(shù)據(jù)包是否符合所述協(xié)議特征，以確定出控制所述傀儡機(jī)的中控服務(wù)器。

可選地，所述掃描數(shù)據(jù)包發(fā)送單元234進(jìn)一步用于：

根據(jù)所述規(guī)則文件中的數(shù)據(jù)包構(gòu)造關(guān)鍵字、以及網(wǎng)絡(luò)中的各個(gè)服務(wù)器的ip地址，生成針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包；

向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送所生成的針對(duì)所述各個(gè)服務(wù)器進(jìn)行掃描的掃描數(shù)據(jù)包。

參考圖8，基于上述實(shí)施例，如果所述受控程序的傳輸層通信協(xié)議為tcp 協(xié)議，則所述掃描單元230還包括：

握手信號(hào)包發(fā)送單元231，用于向網(wǎng)絡(luò)中的各個(gè)服務(wù)器發(fā)送握手信號(hào)包；

確認(rèn)信號(hào)包接收單元232，用于接收各個(gè)服務(wù)器響應(yīng)于接收到的握手信號(hào)包而返回的確認(rèn)信號(hào)包；

tcp連接建立單元233，用于如果接收到網(wǎng)絡(luò)中的任意服務(wù)器返回的確認(rèn)信號(hào)包，則向該服務(wù)器發(fā)送連接信號(hào)包，以建立與該服務(wù)器的tcp連接。

參考圖9，基于上述實(shí)施例，所述掃描單元230還包括：

tcp連接關(guān)閉單元237，用于如果接收到任意服務(wù)器響應(yīng)于接收到的掃描數(shù)據(jù)包而返回的應(yīng)答數(shù)據(jù)包，則向該服務(wù)器發(fā)送連接復(fù)位數(shù)據(jù)包，以關(guān)閉與該服務(wù)器的tcp連接。

需要注意的是，本申請(qǐng)可在軟件和/或軟件與硬件的組合體中被實(shí)施，例如，本申請(qǐng)的各個(gè)裝置可采用專用集成電路(asic)或任何其他類似硬件設(shè)備來(lái)實(shí)現(xiàn)。在一個(gè)實(shí)施例中，本申請(qǐng)的軟件程序可以通過(guò)處理器執(zhí)行以實(shí)現(xiàn)上文所述步驟或功能。同樣地，本申請(qǐng)的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲(chǔ)到計(jì)算機(jī)可讀記錄介質(zhì)中，例如，ram存儲(chǔ)器，磁或光驅(qū)動(dòng)器或軟磁盤及類似設(shè)備。另外，本申請(qǐng)的一些步驟或功能可采用硬件來(lái)實(shí)現(xiàn)，例如，作為與處理器配合從而執(zhí)行各個(gè)步驟或功能的電路。

對(duì)于本領(lǐng)域技術(shù)人員而言，顯然本申請(qǐng)不限于上述示范性實(shí)施例的細(xì)節(jié)，而且在不背離本申請(qǐng)的精神或基本特征的情況下，能夠以其他的具體形式實(shí)現(xiàn)本申請(qǐng)。因此，無(wú)論從哪一點(diǎn)來(lái)看，均應(yīng)將實(shí)施例看作是示范性的，而且是非限制性的，本申請(qǐng)的范圍由所附權(quán)利要求而不是上述說(shuō)明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請(qǐng)內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。此外，顯然“包括”一詞不排除其他單元或步驟，單數(shù)不排除復(fù)數(shù)。系統(tǒng)權(quán)利要求中陳述的多個(gè)單元或裝置也可以由一個(gè)單元或裝置通過(guò)軟件或者硬件來(lái)實(shí)現(xiàn)。第一，第二等詞語(yǔ)用來(lái)表示名稱，而并不表示任何特定的順序。

雖然前面特別示出并且描述了示例性實(shí)施例，但是本領(lǐng)域技術(shù)人員將會(huì)理解的是，在不背離權(quán)利要求書(shū)的精神和范圍的情況下，在其形式和細(xì) 節(jié)方面可以有所變化。