一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统
技术领域
本发明属于网络安全技术领域,具体涉及一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统。
背景技术
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
现有技术的存在以下问题:现有的基于SYN攻击保护的DDoS攻击方法存在保护效果差,无法进行反向追踪进行反击破坏,造成使用不便。
发明内容
为解决上述背景技术中提出的问题。本发明提供了一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,具有防护效果好,反击迅速的特点。
为实现上述目的,本发明提供如下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接。
在本发明中进一步的,所述诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
在本发明中进一步的,所述诱模拟网桥集成了数据控制、捕获和收集的功能。
在本发明中进一步的,所述诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
在本发明中进一步的,所述诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
在本发明中进一步的,所述诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
与现有技术相比,本发明的有益效果是:
本发明提供了基于SYN攻击保护的反向追踪DDoS攻击防护方法,在分析攻击者建立远程控制网络机制的基础上,利用诱骗、跟踪攻击者,在获取远程控制网络的主要信息后,使远程控制机制失效,从而实现反向追踪DDoS攻击防护,反向追踪并主动攻击进行防御,从DDoS攻击体系的各部入手而不是只着眼于攻击体系末端的防御,因而能更加有效地从整体上抵御DDoS攻击。
附图说明
图1为本发明的结构示意图;
图2为本发明的工作流程框图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供以下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,路由器与若干客户端连接,路由器与诱导模拟网桥连接,诱模拟网桥连接若干诱导模拟客户端,路由器与外部网络连接。
进一步的,诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
进一步的,诱模拟网桥集成了数据控制、捕获和收集的功能。
进一步的,诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
进一步的,诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
进一步的,诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
进一步的,所述的基于SYN攻击保护的反向追踪DDoS攻击防护方法如下:
①通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;
②渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;
③详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;
④切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
本发明的工作原理及使用流程:本发明使用时,通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;先进行渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;再详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;最后切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
