一种利用隐藏服务器防止网络攻击的方法
阅读说明:本技术 一种利用隐藏服务器防止网络攻击的方法 (Method for preventing network attack by using hidden server ) 是由 张长河 于 2021-06-24 设计创作,主要内容包括:一种利用隐藏服务器防止网络攻击的方法,包括:客户端向具有可见地址的可见服务器发送服务请求,所述可见地址是客户端已知的地址,服务请求能够寻址到可见服务器的可见地址;隐藏服务器的未寻址端口拦截所述服务请求,所述隐藏服务器进而处理服务请求并使用可见服务器的可见地址作为响应的源地址向客户端发送响应;为了接收寻址到可见服务器的服务请求,隐藏服务器窃听客户端和可见服务器之间的连接;当隐藏服务器窃听时,隐藏服务器接收服务请求的副本,而原始服务请求可以被转发到可见服务器。该方法能够有效的保护客户端。(A method for preventing network attacks using a hidden server, comprising: the client sends a service request to a visible server with a visible address, wherein the visible address is an address known to the client, and the service request can be addressed to the visible address of the visible server; intercepting the service request by an unaddressed port of a hidden server, and further processing the service request by the hidden server and sending a response to the client by using a visible address of a visible server as a source address of the response; hiding a connection between the server eavesdropping client and the visible server for receiving a service request addressed to the visible server; when the hidden server eavesdrops, the hidden server receives a copy of the service request, and the original service request may be forwarded to the visible server. The method can effectively protect the client.)
技术领域
本发明涉及防止网络攻击的方法,特别是涉及一种利用隐藏服务器防止网络攻击的方法。
背景技术
随着计算机网络技术的发展,计算机网络的普及程度迅速提高,但在提高资源共享的同时,也带来了网络的安全问题。随着网络攻击技术的发展,计算机网络安全也面临着极大的威胁。针对目前主要存在的拒绝服务攻击、程序攻击、电子欺骗攻击及对网络协议弱点的攻击等类型,已有相应的网络攻击防御方法。但目前存在的防御方式存在诸如不同的服务往往使用同一域名甚至设备、防御时已经受到攻击且消耗大量带宽、价格昂贵等弊端。
发明内容
本发明的防止网络攻击的系统和方法。至少通过使用隐藏服务器来防止攻击。隐藏服务器可以默默地监视客户端和可见服务器之间的通信。隐藏服务器还可以通过响应可见服务器对请求的响应来选择性地向授权客户端提供受保护的数据、服务或协议。
进一步,可以请求访问由具有可见地址的可见设备支持的受保护数据、服务或协议的通信。具有隐藏地址的隐藏设备可以静默地监视请求并通过代替可见设备完成请求来选择性地响应。选择性响应可以由减少隐藏设备和受保护数据、服务和协议的攻击面的分段策略引导。该策略可以通过减少请求设备破坏受保护数据完整性的途径数量来减少攻击面。来自代替可见设备的隐藏设备的响应可以可见地发生,因此请求设备不知道它正在从隐藏设备而不是可见设备接收数据。
可见设备和隐藏设备可以包括处理器、控制器等,被配置为处理数据和用于传送数据的接口。例如,可见设备和隐藏设备可以包括硬件或硬件和软件的组合,例如个人计算机、手持计算机、电话、计算机应用程序、客户端、服务器或其任何组个。
请求可能符合已知的基于寻址的通信。例如,请求可能会寻求访问特定的数据、服务或协议。请求还可以识别可见设备的地址来满足该请求。请求的其他特征是可能的,并且将基于用于实现与可见设备和隐藏设备的通信的协议的特定实现细节而变化。
在隐藏设备处静默监视数据请求可以包括在隐藏设备和请求设备之间不建立连接的情况下接收请求的副本。此外,不符合隐藏设备分段策略的请求可能会被监控隐藏设备忽略。监控的其他方面是可能的,并且可能取决于可见设备和隐藏设备的特定实现细节。
分段策略可以包括用于将隐藏设备与请求被寻址到的可见设备分段的组件。例如,分段策略可以包括将隐藏设备的地址隐藏,同时暴露来自请求设备的数据请求被寻址到的可见设备的地址。或者,隐藏的设备甚至可能没有地址。在隐藏没备的地址被隐藏的情况下,请求设备和可见设备可能不知道该地址。因此,如果可见设备的安全性被请求设备损害,则请求设备可能不会获悉隐藏设备的地址或其实现细节。分段策略还可以包括指纹擦除以减少响应来自隐藏设备而不是数据请求被寻址到的可见设备的数据请求的影响。隐藏设备和可见设备之间的分割还可以包括减少设备之间的软件和硬件重叠。例如,隐藏设备和可见设备可以配置不同的硬件、不同的操作系统、不同的协议软件和不同的应用软件。硬件和软件重叠的减少还可以包括将隐藏设备配置为包括仅用于一种服务的软件,而可见设备可以被配置为包括用于多种服务的软件。
作为最后一个示例,分段可以包括将隐藏设备配置为仅响应来自具有访问存储在隐藏设备上的安全数据的授权的请求设备的数据请求。
附图说明
图1是包括隐藏服务器的通信网络的实施例的示意图。
图2是具有多个隐藏服务器和可见服务器的通信网络的第二实施例的示意图。
图3示出了具有信任客户端和不信任客户端的通信网络的第三实施例。
图4是包括网关的通信网络的第四实施例的示意图。
图5是示出与隐藏服务器通信的方法的流程图。
具体实施方式
如图1,示出了包含客户端110的网络100,该客户端110通过诸如因特网120之类的网络与服务器130和140通信。客户端110向具有可见地址的服务器140发送服务请求。可见地址可以是客户端110已知的地址,例如IP地址。服务请求可以寻址到服务器140的可见地址。可能没有地址的隐藏服务器130可以在之前拦截服务请求它到达服务器140。隐藏服务器130处理服务请求并使用服务器140的可见地址作为响应的源地址向客户端110发送响应。
该通信中使用的协议可以是网络通信中常用的任何类型的协议,包括面向连接的协议,例如传输控制协议(TCP)。TCP中的服务请求和响应包含源地址和目标地址。
为了接收寻址到可见服务器140的服务请求,隐藏服务器130可以窃听客户端110和可见服务器140之间的连接。当隐藏服务器130窃听时,隐藏服务器130接收服务请求的副本,而原始服务请求可以被转发到可见服务器140。可见服务器140生成的响应可能会被中间设备(例如网关、路由器、网桥或交换机或防火墙)阻止,同时允许隐藏服务器130生成的响应到达客户端110。
可见服务器140的操作系统可以是第一种类型。操作系统的示例包括Windows、Linux、Unix。操作系统也可以随时间改变以保护可见服务器140的完整性。可见服务器140还可以将操作系统的同时实例作为虚拟机运行。
隐藏服务器130的操作系统可以是不同于在可见服务器140上运行的操作系统类型的第二类型。操作系统的示例包括Windows、Linux、Unix。可见服务器140和隐藏服务器130之间的操作系统差异应该降低针对可见服务器140的操作系统的攻击成功攻击隐藏服务器130的操作系统的可能性。其他硬件和软件特征也可能不同可见服务器140和隐藏服务器130以类似地减少服务器之间安全漏洞的重叠。
隐臧服务器130生成的响应可以包括与客户端110和可见服务器140之间的连接的数据传输状态同步的受保护数据。在任一情况下,隐藏服务器130可以使用可见服务器140的地址来发送响应,因此客户端110不知道受保护数据的来源。此外,响应可以清除指纹,这些指纹会揭示隐藏服务器130代替可见服务器140的使用。
如图2所示另一个实施例,网络100可以具有一个或多个具有可见地址的可见服务器140。通过使用一个或多个可见服务器140,还可以使用一个或多个隐藏服务器130来处理针对一个或多个可见服务器140的服务请求。可以将单个隐藏服务器130分配给单个可见服务器140,或者可以分配单个隐藏服务器130来处理多于一个可见服务器的服务请求。或者,一个或多个可见服务器140可以提供多种服务。每个这样的服务可以由不同的隐藏服务器130提供。
可见服务器140的操作系统可以是第一种类型。操作系统的示例包括Windows、Linux、Unix。可见服务器140的操作系统可以彼此不同并且可以随时间改变以保护可见服务器140的完整性。可见服务器140还可以将操作系统的同时实例作为虚拟机运行。
隐藏服务器130的操作系统可以是不同于在可见服务器140上运行的操作系统类型的第二种类型。操作系统的示例包括Windows、Linux、Unix。可见服务器140和隐藏服务器130之间的操作系统差异应该降低针对可见服务器140的操作系统的攻击成功攻击隐藏服务器130的操作系统的可能性。其他硬件和软件特征也可以与可见服务器140不同,以类似地减少可见服务器和隐藏服务器之间的重叠和安全漏洞。
隐臧服务器130可以被配置为使用未知地址或没有它们自己的地址来操作。例如,如果连接隐藏服务器130的网络是TCP/IP网络,则隐藏服务器130可以使用没有它们自己的IP地址的网络端口,但是在可见服务器140的IP地址上操作。或者,隐藏服务器130可以包括接收网络端口和发送网络端口的组合。接收网络端口可以以混杂模式操作,该模式监听指向可见服务器140的服务请求。传输网络端口可以被配置为在可见服务器140的IP地址处操作。
图3示出了在客户端111和112与服务器140之间具有认证机制的网络100。客户端111已经通过服务器140的认证并且被认为是受信任的客户端。客户端112没有经过认证或者认证过程失败。因此,客户端112可以被认为是不受信任的客户端。在该实施例中,隐藏服务器130可以仅处理来自受信任客户端111的服务请求以将对隐藏服务器130的访问限制为仅受信任客户端111。
在替代实施例中,隐藏服务器130可以处理某些类型的服务请求,而让可见服务器140处理其余类型的服务请求。例如,隐藏服务器130可以仅响应受保护协议(例如HTTP)中的服务请求。
图4示出了具有客户端110的网络100,该客户端110通过网关设备150或其他等效设备在互联网120上与服务器130和140通信。处理服务请求的机制将参考图3进行解释。
图5所示,在501中,客户端110发送寻址到可见服务器140的服务请求。服务请求通过网络120到达网关150。网关150在502中将服务请求转发到隐藏服务器130。隐藏服务器130在503接收并处理服务请求。可以在隐藏服务器130未寻址端口处接收服务请求并将其传递到处理单元。在504,处理单元处理服务请求并使用地址形成寻址到客户端110的响应可见服务器140的地址作为响应的源地址。在505,响应可以以面向连接的协议插入可见服务器140和客户端110之间的连接中。在506,响应通过互联网120上的网关150到达客户端110。
本文所述的一种或多种方法、功能和系统也可以通过跨多个设备分布方法或系统或功能的元素或将方法或功能或系统合并到设备中来使用虚拟系统来实现。
虽然上面已经描述了各种实施例,但是应当理解,它们是通过示例而非限制的方式呈现的。对于相关领域的技术人员来说显而易见的是,在不脱离精神和范围的情况下,可以在形式和细节上进行各种改变。事实上,在阅读了以上描述之后,相关领域的技术人员将清楚如何实现替代实施例。因此,本实施例不应受任何上述示例性实施例的限制。因此,本实施例不应受任何上述示例性实施例的限制。特别地,应当注意,为了举例的目的,以上解释集中在通过互联网传输请求的例子。然而,本领域技术人员将认识到,本发明的实施例可以例如在各种其他类型的网络中实现,包括内联网和虚拟专用网络。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种VoLTE语音报文双向合并实时播放方法