CN102984153A - 一种黑客防止方法、设备及系统 - Google Patents
一种黑客防止方法、设备及系统 Download PDFInfo
- Publication number
- CN102984153A CN102984153A CN2012104988891A CN201210498889A CN102984153A CN 102984153 A CN102984153 A CN 102984153A CN 2012104988891 A CN2012104988891 A CN 2012104988891A CN 201210498889 A CN201210498889 A CN 201210498889A CN 102984153 A CN102984153 A CN 102984153A
- Authority
- CN
- China
- Prior art keywords
- address
- server
- client terminal
- check code
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种黑客防止方法,包括:接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,以获取到所述校验码和所述IP地址;对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;与所述客户终端建立连接。本发明实施例可以有效防止黑客的攻击或入侵。
Description
技术领域
本发明涉及通信领域,尤其涉及一种黑客防止方法、设备及系统。
背景技术
随着因特网(Internet)的迅速发展,大部分企业或组织机构都接入了Internet,同时,有越来越多的企业或组织机构在Internet上开放网络服务,允许员工通过Internet直接连接内部服务器进行工作。目前需要在Internet上开放网络服务一般都使用传输控制协议(Transmission Control Protocol,TCP)或者使用用户数据报协议(User Datagram Protocol,UDP)。当网络服务在Internet在开放时,就需要考虑完全性的问题,考虑受到黑客的攻击或入侵的问题。其中,黑客主要是通过扫描主机(例如:上述服务器)所开放的TCP或UDP端口,再猜测或分析扫描到的端口所使用的协议,最后对协议进行深入的分析和攻击。这样当企业或组织机构的服务器提供网络服务的端口在Internet上开放时,就有可能被黑客扫描到,进而受到黑客的攻击或入侵。
目前主要通过使用入侵检测或入侵防护技术来防止黑客扫描服务器开放的端口。入侵检测或入侵防护技术中,预先设定时间阈值和端口阈值,当某一用户的IP地址在上述时间阈值内访问服务器的端口数超过上述端口阈值时,服务器就认识为该IP地址在进行扫描,认为该IP地址为不信任IP地址。在后续接收到该使用该IP地址发送的报文时,禁止使用该IP地址的客户连接服务器,并抛弃接收的报文。
但上述技术中,无法有效防止黑客的攻击或入侵,特别是服务器开放的端口为标准端口时,黑客很容易一次就扫描到该端口,这样上述技术就不可以防止黑客攻击或入侵。
发明内容
本发明实施例提供了一种黑客防止方法、设备及系统,可以有效防止黑客的攻击或入侵。
本发明第一方面提供一种黑客防止方法,包括:
接收客户终端发送的包含校验码和IP地址的报文;
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
与所述客户终端建立连接。
结合第一方面,在第一种可能的实现方式中,所述校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述将所述IP地址作为信任IP地址包括:
将所述IP地址作为特定时间段内信任IP地址;
所述与所述客户终端建立连接包括:
在所述特定时间段内与所述客户终端建立连接。
结合第一方面或第一方面的第一种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:
接收所述客户终端发送的请求建立传输控制协议TCP连接的请求报文,所述请求报文携带有IP地址;
所述与所述客户终端建立连接包括:
判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
本发明第二方面提供一种黑客防止方法,包括:
接收客户终端发送的包含校验码和IP地址的报文;
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
结合第二方面,在第一种可能的实现方式中,所述生成校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述将所述IP地址作为信任IP地址包括:
将所述IP地址作为特定时间段内信任IP地址;
所述向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息包括:
向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,所述请求消息包含所述特定时间段的信息,以使所述服务器在所述特定时间段内与所述客户终端建立连接。
结合第二方面或第二方面的第一种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:
接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址;
所述向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息包括:
判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息。
本发明第三方面提供一种防止扫描的方法,包括:
生成校验码;
将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。
结合第三方面,在第一种可能的实现方式中,所述校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
结合第三方面,在第二种可能的实现方式中,所述方法还包括:
生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址;
将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
结合第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述设备包括:
防火墙设备。
本发明第四方面提供一种服务器,包括:第一接收单元、解析单元、校验单元和建立单元,其中:
所述第一接收单元,用于接收客户终端发送的包含校验码和IP地址的报文;
所述解析单元,用于解析所述报文,以获取到所述校验码和所述IP地址;
所述校验单元,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述建立单元,用于在所述校验单元将所述IP地址作为信任IP地址后,与所述客户终端建立连接。
结合第四方面,在第一种可能的实现方式中,所述校验单元还用于对所述校验码进行校验,当校验通过时,将所述IP地址作为特定时间段内信任IP地址;
所述建立单元还用于在所述特定时间段内与所述客户终端建立连接。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述服务器包括:
第二接收单元、用于接收所述客户终端发送的请求建立传输控制协议TCP连接的请求报文,所述请求报文携带有IP地址;
所述建立单元还用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
本发明第五方面提供一种防火墙设备,包括:
第一接收单元、解析单元、校验单元和发送单元,其中:
所述第一接收单元,用于接收客户终端发送的包含校验码和IP地址的报文;
所述解析单元,用于解析所述报文,以获取到所述校验码和所述IP地址;
所述校验单元,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述发送单元,用于当所述校验单元将所述IP地址作为信任IP地址后,向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
结合第五方面,在第一种可能的实现方式中,所述校验单元还用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述发送单元还用于向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,所述请求消息包含所述特定时间段的信息,以使所述服务器在所述特定时间段内与所述客户终端建立连接。
结合第五方面,在第二种可能的实现方式中,所述设备还包括:
第二接收单元,用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址;
所述发送单元还用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息。
本发明第六方面提供一种客户终端,包括:
第一生成单元和第一发送单元,其中:
所述第一生成单元,用于生成校验码;
所述第一发送单元,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与所述客户终端建立连接。
结合第六方面,在第一种可能的实现方式中,所述客户终端还包括:
第二生成单元,用于生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址;
第二发送单元,用于将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
本发明第七方面提供一种黑客防止系统,包括:客户终端和服务器,其中:
所述客户终端,用于生成校验码;将包含所述校验码和IP地址的报文发送至所述服务器;
所述服务器,用于接收客户终端发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。
本发明第八方面提供一种黑客防止系统,包括:客户终端、防火墙设备和服务器,其中:
所述客户终端,用于生成校验码;将包含所述校验码和IP地址的报文发送至所述服务器;
所述防火墙设备,用于接收客户终端发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息;
所述服务器,用于接收所述防火墙设备发送的所述请求消息,并与所述客户终端建立连接。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供一种黑客防止方法的流程示意图;
图2是本发明实施例提供另一种黑客防止方法的流程示意图;
图3是本发明实施例提供另一种黑客防止方法的流程示意图;
图4是本发明实施例提供另一种黑客防止方法的流程示意图;
图5是本发明实施例提供另一种黑客防止方法的流程示意图;
图6是本发明实施例提供另一种黑客防止方法的流程示意图;
图7是本发明实施例提供的一种服务器的结构示意图;
图8是本发明实施例提供的一种服务器的结构示意图;
图9是本发明实施例提供的一种防火墙设备的结构示意图;
图10是本发明实施例提供的另一种防火墙设备的结构示意图;
图11是本发明实施例提供的一种客户终端的结构示意图;
图12是本发明实施例提供的另一种客户终端的结构示意图;
图13是本发明实施例提供的一种黑客防止系统的结构示意图;
图14是本发明实施例提供的另一种黑客防止系统的结构示意图;
图15是本发明实施例提供的另一种服务器的结构示意图;
图16是本发明实施例提供的另一种服务器的结构示意图;
图17是本发明实施例提供的另一种防火墙设备的结构示意图;
图18是本发明实施例提供的另一种防火墙设备的结构示意图;
图19是本发明实施例提供的另一种客户终端的结构示意图;
图20是本发明实施例提供的另一种客户终端的结构示意图;
图21是本发明实施例提供的另一种黑客防止系统的结构示意图;
图22是本发明实施例提供的另一种黑客防止系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种黑客防止方法的流程示意图,如图1所示,包括:
101、接收客户终端发送的包含校验码和IP地址的报文;
102、解析所述报文,以获取到所述校验码和所述IP地址;
103、对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
104、与所述客户终端建立连接。
可选的,本实施例可以由服务器来实现。
这样当服务器接收到客户终端发送的包含校验码和IP地址的报文,解析所述报文,获取到所述校验码和所述IP地址;再对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现服务器只与信任IP地址的客户终端建立连接,从而防止黑客的攻击或入侵。
可选的,上述校验码可以是预先与客户终端协商好的。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图2是本发明实施例提供的另一种黑客防止方法的流程示意图,如图2所示,包括:
201、接收客户终端发送的包含校验码和IP地址的报文。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行消息摘要算法第五版(MessageDigest Algorithm,MD5)算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:
以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
202、解析所述报文,以获取到所述校验码和所述IP地址。
203、对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
作为一种可选的实施方式,步骤203中将所述IP地址作为信任IP地址可以包括:
将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。这样在后续与客户终端建立连接过程中,由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样与客户终端建立连接就可以是在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当步骤203校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
204、接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
可选的,步骤204与步骤204之前的步骤(例如:步骤201、步骤202和步骤203)不存在时间先后顺序,例如,步骤204可以在步骤201之前执行,步骤204也可以在步骤203之后执行。
205、判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
作为一种可选的实施方式,步骤205在判断请求报文携带的IP地址为信任IP地址时,还可以向所述客户终端发送响应报文(例如:SYN ACK报文),再与所述客户终端建立TCP连接。
作为一种可选的实施方式,当步骤203对获取的校验码校验不通过时,即校验码错误,就可以将步骤202获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当步骤203校验通过时,但步骤205判断请求报文包含的IP地址不为信任IP地址时,步骤205就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
作为一种可选的实施方式,本发明可以是在服务器在增加一个UDP端口,该UDP端口只用接收报文不响应报文,步骤201和步骤202和步骤203可以在该UDP端口上执行的。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图3是本发明实施例提供的另一种黑客防止方法的流程示意图,如图3所示,包括:
301、接收客户终端发送的包含校验码和IP地址的报文;
302、解析所述报文,以获取到所述校验码和所述IP地址;
303、对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
304、向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
可选的,本实施例可以由服务器外接的防火墙设备来实现。
这样当防火墙设备接收到客户终端发送的包含校验码和IP地址的报文,解析所述报文,获取到所述校验码和所述IP地址;再对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,防火墙设备再向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接,从而防止黑客的攻击或入侵。
可选的,上述校验码可以是预先与客户终端协商好的。
可选的,服务器接收到上述请求消息后,就可以和上述客户终端建立连接。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图4是本发明实施例提供的另一种黑客防止方法的流程示意图,如图4所示,包括:
401、接收客户终端发送的包含校验码和IP地址的报文。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
402、解析所述报文,以获取到所述校验码和所述IP地址。
403、对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
作为一种可选的实施方式,步骤403中将所述IP地址作为信任IP地址可以包括:
将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样在给服务器发送用于请求与客户终端建立连接过程中,在该请求消息中可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当步骤403校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
404、接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
可选的,步骤404与步骤404之前的步骤(例如:步骤401、步骤402和步骤403)不存在时间先后顺序,例如,步骤404可以在步骤401之前执行,步骤404也可以在步骤403之后执行。
405、判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述服务器与所述客户终端建立TCP连接。
由于本实施例中,只有请求报文携带的IP地址为信任IP地址时,才将该请求报文发送至服务器,因此可以减少服务器的请求报文洪水攻击。
作为一种可选的实施方式,当步骤403将步骤402获取的IP地址设置为在特定时间段内为信任IP地址时,步骤405向服务器发送的请求消息就可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立连接。
作为一种可选的实施方式,当步骤403对获取的校验码校验不通过时,即校验码错误,就可以将步骤402获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当步骤403校验通过时,但步骤405判断请求报文包含的IP地址不为信任IP地址时,步骤405就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,本实施例可以由服务器外接的防火墙设备来实现。
可选的,该防火墙设备可以同时服务多个服务器的防火墙设备,即该防火墙设备连接多个服务器。
可选的,步骤401可以包括:
接收客户终端发送的包含校验码、源IP地址和目标IP地址的报文。
步骤402可以包括:
解析所述报文,以获取到所述校验码、源IP地址和目标IP地址。
步骤403可以包括:
对所述校验码进行校验,当校验通过时,将所述源IP地址作为所述目标IP地址的服务器信任源IP地址。
可选的,可以是预先设备多个信任源IP地址列表,即每个信任源IP地址列表对应一个目标IP地址,即每个信任源IP地址列表对应一个服务器。
步骤404可以包括:
接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址。
步骤405可以包括:
判断所述请求报文携带的源IP地址是否为所述请求报文携带的目标IP地址的服务器的信任IP地址,若是,则向所述请求报文携带的目标IP地址的服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述请求报文携带的目标IP地址的服务器与所述客户终端建立TCP连接。
该实施方式中,可以实现多个服务器防止黑客的攻击或入侵。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图5是本发明实施例提供的另一种黑客防止方法的流程示意图,如图5所示,包括:
501、生成校验码;
502、将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。
可选的,实现本方法的设备可以是客户终端,例如:电脑或手机等通信设备。
可选的,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。
当上述防火墙设备接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,再向服务器发送用于请求与客户终端建立连接的请求消息,服务器接收到该请求消息后,就可以与客户终端建立连接。
可选的,当服务器接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,并与客户终端建立连接。
上述技术方案中,将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。这样就可以实现服务器只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图6是本发明实施例提供的另一种黑客防止方法的流程示意图,如图6所示,包括:
601、生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,步骤601中的请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
需要说明的是,本实施例中,步骤601、步骤602之间可以不存在先后顺序。即步骤601可以在步骤602之前执行,也可以在步骤602之后执行。
602、生成校验码。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
步骤602生成的校验码可以是和服务器侧预先协商好的。
603、将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,以使当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
604、将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
作为一种可选的实施方式,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。该防火墙设备可以用于服务多个服务器的防火墙设备,即该防火墙设备连接有多个服务器。
可选的,步骤603可以包括:
将包含所述校验码、源IP地址和目标IP地址的报文发送至防火墙设备,以使当该防火墙设备校验所述校验码通过时,该防火墙设备将该源IP地址作为该目标IP地址的服务器的信任IP地址。
步骤601可以包括:
生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址。
步骤604可以包括:
将所述请求报文发送至防火墙设备,以使防火墙设备判断所述请求报文包含的源IP地址是否为所述请求报文包含的目标IP地址的服务器信任的IP地址,若是,防火墙设备向所述请求报文包含的目标IP地址的服务器发送用于请求与客户终端建立连接的请求消息。
这样当所述请求报文包含的目标IP地址的服务器接收到该请求消息后,就可以与客户终端建立连接。该实施方式中,可以实现使用防火墙设备实现防止对多个服务器补黑客攻击与入侵。
作为一种可选的实施方式,本实施例可以由客户终端(例如:电脑、手机等通过设备)来实现。
可选的,上述客户终端可以设置一个虚拟的校验客户端,步骤602、步骤603和步骤604都可以由该虚拟的校验客户端来完成,该虚拟的校验客户端可以是设置的客户终端的底层应用中。即客户终端先生成步骤601中的请求报文,并将该请求报文传输至虚拟的校验客户端,这时该虚拟的校验客户端就可以根据预先与服务器侧协商的算法生成校验码(即步骤602),该虚拟的校验客户端将包含生成的校验码和IP地址的报文发送至服务器侧(即步骤603),以及将上述请求报文发送至服务器侧(即步骤604)。以完成服务器与客户终端建立连接。
可选的,上述客户终端还可以设置一个Winsock SPI DLL(Winsock SPI DLL为Windows系统中的一个组件名称,无具体的中文意思)组件,客户终端发起与服务器建立连接时,先将用于请求与服务器建立连接的请求报文(例如:TCPSYN报文)经过Winsock SPI DLL组件处理,该Winsock SPI DLL组件根据预先与服务器侧协商的算法生成校验码(即步骤602),该Winsock SPI DLL组件再将包含校验码和IP地址的报文发送至服务器外接的防火墙设备(即步骤603),同时,该Winsock SPI DLL组件还将客户终端生成的请求报文发送至服务器外接的防火墙设备(即步骤604)。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
下面为本发明装置实施例,本发明装置实施例用于执行本发明方法实施例一至六实现的方法,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例一、实施例二、实施例三、实施例四、实施例五和实施例六。
图7是本发明实施例提供的一种服务器的结构示意图,如图7所示,包括第一接收单元11、解析单元12、校验单元13和建立单元14,其中:
第一接收单元11,用于接收客户终端发送的包含校验码和IP地址的报文;
解析单元12,用于解析所述报文,以获取到所述校验码和所述IP地址;
校验单元13,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
建立单元14,用于在所述校验单元将所述IP地址作为信任IP地址后,与所述客户终端建立连接。
这样当服务器接收到客户终端发送的包含校验码和IP地址的报文,解析所述报文,获取到所述校验码和所述IP地址;再对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现服务器只与信任IP地址的客户终端建立连接,从而防止黑客的攻击或入侵。
可选的,上述校验码可以是预先与客户终端协商好的。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图8是本发明实施例提供的一种服务器的结构示意图,如图8所示,包括第一接收单元21、解析单元22、校验单元23、第二接收单元24和建立单元25,其中:
第一接收单元21,用于接收客户终端发送的包含校验码和IP地址的报文。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
解析单元22,用于解析所述报文,以获取到所述校验码和所述IP地址。
校验单元23,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
作为一种可选的实施方式,校验单元23还可以用于对所述校验码进行校验,当校验通过时,将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。这样在后续与客户终端建立连接过程中,由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样建立单元25建立连接就可以是在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当校验单元23校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
第二接收单元24、用于接收所述客户终端发送的请求建立传输控制协议TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
建立单元25,用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
作为一种可选的实施方式,所述服务器还可以包括:
发送单元(附图中未画出),用于建立单元25在判断请求报文携带的IP地址为信任IP地址时,向所述客户终端发送响应报文(例如:SYNACK报文)。
作为一种可选的实施方式,当校验单元23对获取的校验码校验不通过时,即校验码错误,所述服务器还可以将解析单元22获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当校验单元23校验通过时,但建立单元25判断请求报文包含的IP地址不为信任IP地址时,建立单元25就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
作为一种可选的实施方式,本发明可以是在服务器在增加一个UDP端口,该UDP端口只用接收报文不响应报文,第一接收单元21和解析单元22和校验单元23可以在该UDP端口上实现的。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图9是本发明实施例提供的一种防火墙设备的结构示意图,如图9所示,包括:第一接收单元31、解析单元32、校验单元33和发送单元34,其中:
第一接收单元31,用于接收客户终端发送的包含校验码和IP地址的报文;
解析单元32,用于解析所述报文,以获取到所述校验码和所述IP地址;
校验单元33,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
发送单元34,用于当所述校验单元将所述IP地址作为信任IP地址后,向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
可选的,本实施例提供的防火墙设备可以是服务器外接的防火墙设备。
这样当防火墙设备接收到客户终端发送的包含校验码和IP地址的报文,解析所述报文,获取到所述校验码和所述IP地址;再对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,防火墙设备再向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接,从而防止黑客的攻击或入侵。
可选的,上述校验码可以是预先与客户终端协商好的。
可选的,服务器接收到上述请求消息后,就可以和上述客户终端建立连接。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图10是本发明实施例提供的另一种防火墙设备的结构示意图,如图10所示,包括:第一接收单元41、解析单元42、校验单元43、第二接收单元44和发送单元45,其中:
第一接收单元41,用于接收客户终端发送的包含校验码和IP地址的报文。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
解析单元42,用于解析所述报文,以获取到所述校验码和所述IP地址。
校验单元43,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
作为一种可选的实施方式,校验单元43还可以用于对所述校验码进行校验,当校验通过时,将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样发送单元45在给服务器发送用于请求与客户终端建立连接过程中,在该请求消息中可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当校验单元43校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
第二接收单元44,用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
发送单元45,用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述服务器与所述客户终端建立TCP连接。
由于本实施例中,只有请求报文携带的IP地址为信任IP地址时,才将该请求报文发送至服务器,因此可以减少服务器的请求报文洪水攻击。
作为一种可选的实施方式,当校验单元43将解析单元42获取的IP地址设置为在特定时间段内为信任IP地址时,发送单元45向服务器发送的请求消息就可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立连接。
作为一种可选的实施方式,当校验单元43对获取的校验码校验不通过时,即校验码错误,就可以将解析单元42获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当校验单元43校验通过时,但发送单元45判断请求报文包含的IP地址不为信任IP地址时,发送单元45就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,本实施例提供的防火墙可以是服务器外接的防火墙设备。
可选的,该防火墙设备可以同时服务多个服务器的防火墙设备,即该防火墙设备连接多个服务器。
可选的,第一接收单元41还可以用于接收客户终端发送的包含校验码、源IP地址和目标IP地址的报文。
解析单元42还可以用于解析所述报文,以获取到所述校验码、源IP地址和目标IP地址。
校验单元43还可以用于对所述校验码进行校验,当校验通过时,将所述源IP地址作为所述目标IP地址的服务器信任源IP地址。
可选的,可以是预先设备多个信任源IP地址列表,即每个信任源IP地址列表对应一个目标IP地址,即每个信任源IP地址列表对应一个服务器。
第二接收单元44还可以用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址。
发送单元45还可以用于判断所述请求报文携带的源IP地址是否为所述请求报文携带的目标IP地址的服务器的信任IP地址,若是,则所述请求报文携带的目标IP地址的服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述请求报文携带的目标IP地址的服务器与所述客户终端建立TCP连接。
该实施方式中,可以实现多个服务器防止黑客的攻击或入侵。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图11是本发明实施例提供的一种客户终端的结构示意图,如图11所示,包括:第一生成单元51和第一发送单元52,其中:
第一生成单元51,用于生成校验码;
第一发送单元52,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与所述客户终端建立连接。
可选的,所述客户终端可以包括:
电脑或手机等通信设备。
可选的,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。
当上述防火墙设备接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,再向服务器发送用于请求与客户终端建立连接的请求消息,服务器接收到该请求消息后,就可以与客户终端建立连接。
可选的,当服务器接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,并与客户终端建立连接。
上述技术方案中,将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。这样就可以实现服务器只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图12是本发明实施例提供的另一种客户终端的结构示意图,如图12所示,包括:第一生成单元61、第一发送单元62、第二生成单元63和第二发送单元64,其中:
第一生成单元61,用于生成校验码。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
第一生成单元61生成的校验码可以是和服务器侧预先协商好的。
第一发送单元62,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
第二生成单元63,用于生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址。
作为一种可选的实施方式,第二生成单元63中的请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
作为一种可选的实施方式,第一生成单元61还可以用于在第二生成单元63生成用于请求与所述服务器建立TCP连接的请求报文后,生成校验码。
第二发送单元64,用于将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
作为一种可选的实施方式,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。该防火墙设备可以用于服务多个服务器的防火墙设备,即该防火墙设备连接有多个服务器。
可选的,第一发送单元62还可以用于将包含所述校验码、源IP地址和目标IP地址的报文发送至防火墙设备,以使当该防火墙设备校验所述校验码通过时,该防火墙设备将该源IP地址作为该目标IP地址的服务器的信任IP地址。
第二生成单元63还可以用于生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址。
第二发送单元64还可以用于将所述请求报文发送至防火墙设备,以使防火墙设备判断所述请求报文包含的源IP地址是否为所述请求报文包含的目标IP地址的服务器信任的IP地址,若是,防火墙设备向所述请求报文包含的目标IP地址的服务器发送用于请求与客户终端建立连接的请求消息。
这样当所述请求报文包含的目标IP地址的服务器接收到该请求消息后,就可以与客户终端建立连接。该实施方式中,可以实现使用防火墙设备实现防止对多个服务器补黑客攻击与入侵。
可选的,上述客户终端可以设置一个虚拟的校验客户端,第一生成单元61、第一发送单元62和第二发送单元63都可以由该虚拟的校验客户端来完成,该虚拟的校验客户端可以是设置的客户终端的底层应用中。即客户终端先通过第二生成单元63生成的请求报文,并将该请求报文传输至虚拟的校验客户端,这时该虚拟的校验客户端就可以根据预先与服务器侧协商的算法生成校验码,该虚拟的校验客户端将包含生成的校验码和IP地址的报文发送至服务器侧,以及将上述请求报文发送至服务器侧。以完成服务器与客户终端建立连接。
可选的,上述客户终端还可以设置一个Winsock SPI DLL(Winsock SPI DLL为Windows系统中的一个组件名称,无具体的中文意思)组件,客户终端发起与服务器建立连接时,先将用于请求与服务器建立连接的请求报文(例如:TCPSYN报文)经过Winsock SPI DLL组件处理,该Winsock SPI DLL组件根据预先与服务器侧协商的算法生成校验码,该Winsock SPI DLL组件再将包含校验码和IP地址的报文发送至服务器外接的防火墙设备,同时,该Winsock SPI DLL组件还将客户终端生成的请求报文发送至服务器外接的防火墙设备。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图13是本发明实施例提供的一种黑客防止系统的结构示意图,如图13所示,包括:客户终端71和服务器72,其中:
客户终端71,用于生成校验码;将包含所述校验码和IP地址的报文发送至服务器72;
服务器72,用于接收客户终端发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与客户终端71建立连接。
可选的,上述校验码可以是服务器72预先与客户终端71协商好的。
作为一种可选的实施方式,客户终端71可以是图11和图12所示的实施例中任一实施方式的客户终端。
作为一种可选的实施方式,服务器72可以是图7和图8所示的实施例中任一实施方式的服务器。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图14是本发明实施例提供的另一种黑客防止系统的结构示意图,如图14所示,客户终端81、防火墙设备82和服务器83,其中:
客户终端81,用于生成校验码;将包含所述校验码和IP地址的报文发送至防火墙设备82;
防火墙设备82,用于接收客户终端81发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并向服务器83发送用于请求所述服务器与所述客户终端建立连接的请求消息;
服务器83,用于接收防火墙设备82发送的所述请求消息,并与客户终端81建立连接。
作为一种可选的实施方式,客户终端81可以图11和图12所示的实施例中任一实施方式的客户终端。
作为一种可选的实施方式,防火墙设备82可以是图9和图10所示的实施例中任一实施方式的防火墙设备。
上述技术方案中,防火墙设备接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图15是本发明实施例提供的另一种服务器的结构示意图,如图15所示,包括:接收器91和处理器92,其中:
接收器91,用于接收客户终端发送的包含校验码和IP地址的报文;
处理器92用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
与所述客户终端建立连接。
可选的,上述校验码可以是预先与客户终端协商好的。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图16是本发明实施例提供的另一种服务器的结构示意图,如图16所示,包括:接收器101和处理器102,其中:
接收器101,用于接收客户终端发送的包含校验码和IP地址的报文;
处理器102用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址。
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
接收器101还用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址。
处理器102还用于执行如下步骤:
判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
作为一种可选的实施方式,处理器102执行的将所述IP地址作为信任IP地址步骤可以包括:
将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。这样在后续与客户终端建立连接过程中,由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样与客户终端建立连接就可以是在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当处理器102校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
作为一种可选的实施方式,处理器102在判断请求报文携带的IP地址为信任IP地址时,还可以向所述客户终端发送响应报文(例如:SYNACK报文),再与所述客户终端建立TCP连接。
作为一种可选的实施方式,当处理器102对获取的校验码校验不通过时,即校验码错误,就可以将接收器101获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当处理器102校验通过时,但处理器102判断请求报文包含的IP地址不为信任IP地址时,处理器102就可以不与该客户终端建立连接,同时,还可以抛弃该请求报文。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
作为一种可选的实施方式,所述服务器还可以包括:
存储器103,用于存储处理器102所执行的程序。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图17是本发明实施例提供的另一种防火墙设备的结构示意图,如图17所示,包括:接收器111、处理器112和发射器113,其中:
接收器111,用于接收客户终端发送的包含校验码和IP地址的报文;
处理器112用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
发射器113,用于向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
可选的,本实施例可以由服务器外接的防火墙设备来实现。
这样当防火墙设备接收到客户终端发送的包含校验码和IP地址的报文,解析所述报文,获取到所述校验码和所述IP地址;再对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,防火墙设备再向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接,从而防止黑客的攻击或入侵。
可选的,上述校验码可以是预先与客户终端协商好的。
可选的,服务器接收到上述请求消息后,就可以和上述客户终端建立连接。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图18是本发明实施例提供的另一种防火墙设备的结构示意图,如图18所示,包括:接收器121、处理器122和发射器123,其中:
接收器121,用于接收客户终端发送的包含校验码和IP地址的报文。
处理器122,用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
接收器121还用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址。
处理器122还用于执行如下步骤:
判断所述请求报文携带的IP地址是否为信任IP地址;
发射器123,用于当处理器122判断所述请求报文携带的IP地址为信任IP地址时,向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述服务器与所述客户终端建立TCP连接。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
作为一种可选的实施方式,处理器122执行的将所述IP地址作为信任IP地址的步骤可以包括:
将所述IP地址作为特定时间段内信任IP地址。
这样该IP地址就只是在上述特定时间段内才是信任IP地址,该特定时间段可以是预先设置好的。由于所述IP地址作为特定时间段内信任IP地址,即该IP地址只在上述特定时间段内才是有效的,这样在给服务器发送用于请求与客户终端建立连接过程中,在该请求消息中可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立。
作为一种可选的实施方式,本发明中可以预先在设置信任IP地址列表,当处理器122校验通过时,就将上述IP地址加入IP信任IP地址列表。在后续接收到请求报文时,就可以根据该信任IP地址列表判断请求报文包含的IP地址是否在信任IP地址列表中,若是,则判断请求报文包含的IP地址为信任IP地址。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
由于本实施例中,只有请求报文携带的IP地址为信任IP地址时,才将该请求报文发送至服务器,因此可以减少服务器的请求报文洪水攻击。
作为一种可选的实施方式,当步骤403将步骤402获取的IP地址设置为在特定时间段内为信任IP地址时,步骤405向服务器发送的请求消息就可以携带上述特定时间段的信息,以使服务器在上述特定时间段内与客户终端建立连接。
作为一种可选的实施方式,当步骤403对获取的校验码校验不通过时,即校验码错误,就可以将步骤402获取的IP地址作为不信任IP地址,同时,还可以抛弃该报文。在后续接收到该IP地址的客户终端发送的请求报文时,就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,当步骤403校验通过时,但步骤405判断请求报文包含的IP地址不为信任IP地址时,步骤405就可以不向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,同时,还可以抛弃该请求报文。
作为一种可选的实施方式,本实施例可以由服务器外接的防火墙设备来实现。
可选的,该防火墙设备可以同时服务多个服务器的防火墙设备,即该防火墙设备连接多个服务器。
可选的,接收器121还用于接收客户终端发送的包含校验码、源IP地址和目标IP地址的报文。
处理器122执行的解析所述报文,以获取到所述校验码和所述IP地址的步骤可以包括:
解析所述报文,以获取到所述校验码、源IP地址和目标IP地址。
处理器122执行的对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址的步骤可以包括:
对所述校验码进行校验,当校验通过时,将所述源IP地址作为所述目标IP地址的服务器信任源IP地址。
可选的,可以是预先设备多个信任源IP地址列表,即每个信任源IP地址列表对应一个目标IP地址,即每个信任源IP地址列表对应一个服务器。
接收器121还可以用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址。
处理器122执行的判断所述请求报文携带的IP地址是否为信任IP地址的步骤可以包括:
判断所述请求报文携带的源IP地址是否为所述请求报文携带的目标IP地址的服务器的信任IP地址;
发射器123还可以用于当,处理器122判断所述请求报文携带的源IP地址为所述请求报文携带的目标IP地址的服务器的信任IP地址时,向所述请求报文携带的目标IP地址的服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息,以使所述请求报文携带的目标IP地址的服务器与所述客户终端建立TCP连接。
该实施方式中,可以实现多个服务器防止黑客的攻击或入侵。
在实际应用中,黑客往往是无法得知上述校码的,也就是黑客使用的客户终端的IP地址为不信任IP地址,而本发明中,只与信任的IP地址的客户终端建立连接,从而可以防止黑客的攻击与入侵。
作为一种可选的实施方式,所述防火墙设备还可以包括:
存储器124,用于存储处理器122所执行的程序。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图19是本发明实施例提供的另一种客户终端的结构示意图,如图19所示,包括:处理器131和发射器132,其中:
处理器131用于执行如下步骤:
生成校验码;
发射器132,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。
可选的,实现本方法的设备可以是客户终端,例如:电脑或手机等通信设备。
可选的,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。
当上述防火墙设备接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,再向服务器发送用于请求与客户终端建立连接的请求消息,服务器接收到该请求消息后,就可以与客户终端建立连接。
可选的,当服务器接收到上述包含所述校验码和IP地址的报文,就解析该报文获取到上述校验码和IP地址,并校验该校验码,当校验通过时,将该IP地址作为信任IP地址,并与客户终端建立连接。
上述技术方案中,将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。这样就可以实现服务器只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图20是本发明实施例提供的另一种客户终端的结构示意图,如图20所示,包括:处理器141和发射器142,其中:
处理器141用于执行如下步骤:
生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址;
生成校验码;
发射器142,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,以使当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址。
发射器142还用于将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
作为一种可选的实施方式,上述请求报文可以包括:
TCP SYN(SYN为TCP协议中一报文名称,无具体的中文意思)报文。
作为一种可选的实施方式,所述校验码可以包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
可选的,上述序列号和上述共享密钥可以是由服务器与客户终端预先协商好的。
可选的,上述基于序列号和当前时间信息计算得到的校验码可以是客户终端将序列号和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码;上述基于共享密钥和当前时间信息计算得到的校验码可以是客户终端将共享密钥和当前时间信息(例如:以分钟为单位的时间信息,如时间为9点50分,那么当前时间信息就为0950)之和进行MD5算法计算得到的校验码。
作为一种可选的实施方式,上述包含校验码和IP地址的报文可以是UDP报文。
作为一种可选的实施方式,上述服务器侧用于校验所述校验码的设备可以包括:
服务器外接的防火墙设备。该防火墙设备可以用于服务多个服务器的防火墙设备,即该防火墙设备连接有多个服务器。
可选的,发射器142还可以用于将包含所述校验码、源IP地址和目标IP地址的报文发送至防火墙设备,以使当该防火墙设备校验所述校验码通过时,该防火墙设备将该源IP地址作为该目标IP地址的服务器的信任IP地址。
可选的,处理器141执行的生成用于请求与所述服务器建立TCP连接的请求报文的步骤可以包括:
生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有源IP地址和目标IP地址;
发射器142还可以用于将所述请求报文发送至防火墙设备,以使防火墙设备判断所述请求报文包含的源IP地址是否为所述请求报文包含的目标IP地址的服务器信任的IP地址,若是,防火墙设备向所述请求报文包含的目标IP地址的服务器发送用于请求与客户终端建立连接的请求消息。
这样当所述请求报文包含的目标IP地址的服务器接收到该请求消息后,就可以与客户终端建立连接。该实施方式中,可以实现使用防火墙设备实现防止对多个服务器补黑客攻击与入侵。
作为一种可选的实施方式,本实施例可以由客户终端(例如:电脑、手机等通过设备)来实现。
作为一种可选的实施方式,所述客户终端还可以包括:
存储器143,用于存储处理器141所执行的程序。
上述技术方案中,在上面实施例基础上,可以实现与客户终端建立TCP连接,同时,还可以有效防止黑客的攻击或入侵。
图21是本发明实施例提供的另一种黑客防止系统的结构示意图,如图21所示,包括:客户终端151和服务器152,其中:
客户终端151,包括:处理器和发射器,其中:
处理器用于执行如下步骤:
生成校验码;
发射器,用于将包含所述校验码和IP地址的报文发送至服务器152。
服务器152包括:接收器和处理器,其中:
接收器,用于接收客户终端151发送的包含校验码和IP地址的报文;
处理器,用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
与所述客户终端建立连接。
可选的,上述校验码可以是服务器152预先与客户终端151协商好的。
上述技术方案中,接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
图22是本发明实施例提供的另一种黑客防止系统的结构示意图,如图22所示,客户终端161、防火墙设备162和服务器163,其中:
客户终端161,包括:处理器和发射器,其中:
处理器用于执行如下步骤:
生成校验码;
发射器,用于将包含所述校验码和IP地址的报文发送至防火墙设备162。
防火墙设备162,包括:接收器、处理器和发射器,其中:
接收器,用于接收客户终端161发送的包含校验码和IP地址的报文;
处理器用于执行如下步骤:
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址。
发射器,用于向服务器163发送用于请求所述服务器与所述客户终端建立连接的请求消息。
服务器163,包括接收器和处理器,其中:
接收器,用于接收防火墙设备162发送的所述请求消息;
处理器用于执行如下步骤:
与客户终端161建立连接。
上述技术方案中,防火墙设备接收客户终端发送的包含校验码和IP地址的报文;解析所述报文,对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。这样就可以实现只与信任IP地址的客户终端进行连接,从而可以防止黑客的攻击或入侵。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(RandomAccess Memory,简称RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (22)
1.一种黑客防止方法,其特征在于,包括:
接收客户终端发送的包含校验码和IP地址的报文;
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
与所述客户终端建立连接。
2.如权利要求1所述的方法,其特征在于,所述校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
3.如权利要求1或2所述的方法,其特征在于,所述将所述IP地址作为信任IP地址包括:
将所述IP地址作为特定时间段内信任IP地址;
所述与所述客户终端建立连接包括:
在所述特定时间段内与所述客户终端建立连接。
4.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收所述客户终端发送的请求建立传输控制协议TCP连接的请求报文,所述请求报文携带有IP地址;
所述与所述客户终端建立连接包括:
判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
5.一种黑客防止方法,其特征在于,包括:
接收客户终端发送的包含校验码和IP地址的报文;
解析所述报文,以获取到所述校验码和所述IP地址;
对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
6.如权利要求5所述的方法,其特征在于,所述校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
7.如权利要求5或6所述的方法,其特征在于,所述将所述IP地址作为信任IP地址包括:
将所述IP地址作为特定时间段内信任IP地址;
所述向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息包括:
向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,所述请求消息包含所述特定时间段的信息,以使所述服务器在所述特定时间段内与所述客户终端建立连接。
8.如权利要求5或6所述的方法,其特征在于,所述方法还包括:
接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址;
所述向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息包括:
判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息。
9.一种防止扫描的端口的方法,其特征在于,包括:
生成校验码;
将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,以使当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与实现本方法的设备建立连接。
10.如权利要求9所述的方法,其特征在于,所述校验码包括:
序列号或者共享密钥;或者
所述校验码是基于序列号和当前时间信息计算得到的;或者
所述校验码是基于共享密钥和当前时间信息计算得到的。
11.如权利要求9所述的方法,其特征在于,所述方法还包括:
生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址;
将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
12.如权利要求9-11中任一项所述的方法,其特征在于,所述设备包括:
防火墙设备。
13.一种服务器,其特征在于,包括:第一接收单元、解析单元、校验单元和建立单元,其中:
所述第一接收单元,用于接收客户终端发送的包含校验码和IP地址的报文;
所述解析单元,用于解析所述报文,以获取到所述校验码和所述IP地址;
所述校验单元,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述建立单元,用于在所述校验单元将所述IP地址作为信任IP地址后,与所述客户终端建立连接。
14.如权利要求13所述的服务器,其特征在于,所述校验单元还用于对所述校验码进行校验,当校验通过时,将所述IP地址作为特定时间段内信任IP地址;
所述建立单元还用于在所述特定时间段内与所述客户终端建立连接。
15.如权利要求13所述的服务器,其特征在于,所述服务器包括:
第二接收单元、用于接收所述客户终端发送的请求建立传输控制协议TCP连接的请求报文,所述请求报文携带有IP地址;
所述建立单元还用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则与所述客户终端建立TCP连接。
16.一种防火墙设备,其特征在于,包括:第一接收单元、解析单元、校验单元和发送单元,其中:
所述第一接收单元,用于接收客户终端发送的包含校验码和IP地址的报文;
所述解析单元,用于解析所述报文,以获取到所述校验码和所述IP地址;
所述校验单元,用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述发送单元,用于当所述校验单元将所述IP地址作为信任IP地址后,向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,以使所述服务器与所述客户终端建立连接。
17.如权利要求16所述的设备,其特征在于,所述校验单元还用于对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址;
所述发送单元还用于向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息,所述请求消息包含所述特定时间段的信息,以使所述服务器在所述特定时间段内与所述客户终端建立连接。
18.如权利要求16所述的设备,其特征在于,所述设备还包括:
第二接收单元,用于接收所述客户终端发送的请求建立TCP连接的请求报文,所述请求报文携带有IP地址;
所述发送单元还用于判断所述请求报文携带的IP地址是否为信任IP地址,若是,则向服务器发送用于请求所述服务器与所述客户终端建立TCP连接的请求消息。
19.一种客户终端,其特征在于,包括:第一生成单元和第一发送单元,其中:
所述第一生成单元,用于生成校验码;
所述第一发送单元,用于将包含所述校验码和IP地址的报文发送至服务器或者服务器侧用于校验所述校验码的设备,以使当所述服务器或者所述设备校验所述校验码通过时,所述服务器或者所述设备将所述IP地址作为信任IP地址,所述服务器与所述客户终端建立连接。
20.如权利要求19所述的客户终端,其特征在于,所述客户终端还包括:
第二生成单元,用于生成用于请求与所述服务器建立TCP连接的请求报文,所述请求报文携带有IP地址;
第二发送单元,用于将所述请求报文发送至所述服务器或者所述设备,以使所述服务器或者所述设备判断所述请求报文包含的IP地址是否为信任的IP地址,若是,所述服务器与实现本方法的设备建立连接。
21.一种黑客防止系统,其特征在于,包括:客户终端和服务器,其中:
所述客户终端,用于生成校验码;将包含所述校验码和IP地址的报文发送至所述服务器;
所述服务器,用于接收客户终端发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并与所述客户终端建立连接。
22.一种黑客防止系统,其特征在于,包括:客户终端、防火墙设备和服务器,其中:
所述客户终端,用于生成校验码;将包含所述校验码和IP地址的报文发送至所述防火墙设备;
所述防火墙设备,用于接收客户终端发送的包含校验码和IP地址的报文,并解析所述报文,以获取到所述校验码和所述IP地址,以及对所述校验码进行校验,当校验通过时,将所述IP地址作为信任IP地址,并向服务器发送用于请求所述服务器与所述客户终端建立连接的请求消息;
所述服务器,用于接收所述防火墙设备发送的所述请求消息,并与所述客户终端建立连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104988891A CN102984153A (zh) | 2012-11-29 | 2012-11-29 | 一种黑客防止方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104988891A CN102984153A (zh) | 2012-11-29 | 2012-11-29 | 一种黑客防止方法、设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102984153A true CN102984153A (zh) | 2013-03-20 |
Family
ID=47857897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104988891A Pending CN102984153A (zh) | 2012-11-29 | 2012-11-29 | 一种黑客防止方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102984153A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954317A (zh) * | 2014-03-25 | 2015-09-30 | 国基电子(上海)有限公司 | 配置网络参数的方法、服务器及客户端 |
| CN107016511A (zh) * | 2017-04-17 | 2017-08-04 | 东莞理工学院 | 一种城市低碳发展管理系统 |
| CN109194643A (zh) * | 2018-08-29 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 数据传输、报文解析方法、装置及设备 |
| CN109688104A (zh) * | 2018-11-15 | 2019-04-26 | 成都科来软件有限公司 | 一种实现将网络中的主机隐藏的系统及方法 |
| CN111614601A (zh) * | 2019-02-25 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 一种信息传输的实现方法、装置和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266426A1 (en) * | 2006-05-12 | 2007-11-15 | International Business Machines Corporation | Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages |
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN102404326A (zh) * | 2011-11-23 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | 一种验证报文安全性的方法、系统以及装置 |
-
2012
- 2012-11-29 CN CN2012104988891A patent/CN102984153A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266426A1 (en) * | 2006-05-12 | 2007-11-15 | International Business Machines Corporation | Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages |
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| CN102404326A (zh) * | 2011-11-23 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | 一种验证报文安全性的方法、系统以及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954317A (zh) * | 2014-03-25 | 2015-09-30 | 国基电子(上海)有限公司 | 配置网络参数的方法、服务器及客户端 |
| CN104954317B (zh) * | 2014-03-25 | 2018-11-13 | 国基电子(上海)有限公司 | 配置网络参数的方法、服务器及客户端 |
| CN107016511A (zh) * | 2017-04-17 | 2017-08-04 | 东莞理工学院 | 一种城市低碳发展管理系统 |
| CN109194643A (zh) * | 2018-08-29 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 数据传输、报文解析方法、装置及设备 |
| CN109194643B (zh) * | 2018-08-29 | 2021-02-26 | 创新先进技术有限公司 | 数据传输、报文解析方法、装置及设备 |
| CN109688104A (zh) * | 2018-11-15 | 2019-04-26 | 成都科来软件有限公司 | 一种实现将网络中的主机隐藏的系统及方法 |
| CN111614601A (zh) * | 2019-02-25 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 一种信息传输的实现方法、装置和系统 |
| CN111614601B (zh) * | 2019-02-25 | 2022-07-12 | 阿里巴巴集团控股有限公司 | 一种信息传输的实现方法、装置和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3507964B1 (en) | Malware detection for proxy server networks | |
| US11025605B2 (en) | System and method for secure application communication between networked processors | |
| KR102581559B1 (ko) | 다중-경로 검증을 이용한 로그 액세스 지점 검출 | |
| RU2622876C2 (ru) | Способ, устройство и электронное устройство для управления соединениями | |
| US20170366636A1 (en) | Redirection method, apparatus, and system | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| CN110266737B (zh) | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 | |
| EP3092749B1 (en) | Method and apparatus of identifying proxy ip address | |
| US11134035B2 (en) | Method and device for securely sending message | |
| CN104980920A (zh) | 智能终端建立通信连接的方法及装置 | |
| US10084679B2 (en) | Standalone network probing using available network connections | |
| CN102984153A (zh) | 一种黑客防止方法、设备及系统 | |
| CN105430011A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| US20190190934A1 (en) | Mitigating against malicious login attempts | |
| CN104410622A (zh) | 登陆Web系统的安全认证方法、客户端及系统 | |
| CN105634660B (zh) | 数据包检测方法及系统 | |
| CN107124483A (zh) | 域名解析方法及服务器 | |
| WO2015014215A1 (en) | Domain name resolution method, system and device | |
| US20230254146A1 (en) | Cybersecurity guard for core network elements | |
| CN105518693A (zh) | 一种安全防护方法,及装置 | |
| Sharma et al. | Vulnerabilities, attacks and their mitigation: An implementation on internet of things (IoT) | |
| CN111245839A (zh) | 防暴力破解方法及装置 | |
| Samant | Automated penetration testing | |
| Chadza et al. | A look into the information your smartphone leaks | |
| US20240111846A1 (en) | Watermark server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130320 |