CN104639536A - 一种防止网络攻击方法及系统 - Google Patents
一种防止网络攻击方法及系统 Download PDFInfo
- Publication number
- CN104639536A CN104639536A CN201510003878.5A CN201510003878A CN104639536A CN 104639536 A CN104639536 A CN 104639536A CN 201510003878 A CN201510003878 A CN 201510003878A CN 104639536 A CN104639536 A CN 104639536A
- Authority
- CN
- China
- Prior art keywords
- server
- port
- ssh
- access
- door
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止网络攻击方法及系统,上述方法包括以下步骤:服务器采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;服务器接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问,使用多级方式加强计算机的远程连接安全,使入侵者在尝试突破并控制计算机时难度增大,从而确保计算机的安全。
Description
技术领域
本发明属于网络安全领域,尤其涉及一种防止网络攻击方法及系统。
背景技术
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据,而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。
所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器,服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
通过使用安全外壳协议SSH,可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗;使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输速度。
SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道";如果需要远程访问计算机并启用了安全外壳协议SSH连接,入侵者就会尝试突破防线并控制计算机,一定程度上威胁数据通信安全。
因此,如何增加入侵者的攻击难度,有效保障数据通信安全,是迫切需要解决的一个问题。
发明内容
本发明提供一种防止网络攻击方法及系统,以解决上述问题。
本发明提供一种防止网络攻击方法,上述方法包括以下步骤:
服务器采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;
服务器接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;
认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
本发明还提供一种防止网络攻击系统,包括终端、服务器;其中,所述终端与所述服务器连接;
所述服务器,用于采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;还用于接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;还用于认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
相较于之前技术,本发明提供的一种防止网络攻击方法及系统,使用多级方式加强计算机的远程连接安全,使入侵者在尝试突破并控制计算机时难度增大,从而确保计算机的安全。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1所示为本发明实施例1的防止网络攻击方法流程图;
图2所示为本发明实施例2的防止网络攻击系统结构图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1所示为本发明实施例1的防止网络攻击方法流程图,包括以下步骤:
步骤101:服务器采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;
预设端口为19908.1024以上的号码中的任意一个。
例如:与SSH连接的标准端口是22,因此,为了让计算机更安全,应该采取的第一个措施是把与SSH连接的标准端口替换为另一个不常用的非标准端口,比如19908.1024以上的号码通常都可以使用。
具体过程如下:
编译文件:/etc/ssh/sshd_config,获取标准端口Port 22行,把端口号改为19908;保存该文件并用/etc/init.d/ssh restart命令重启SSH。
对SSH配置文件中的配置参数进行设置包括:设置一次登录花费最大时长参数(例如:30秒,允许一次登录花费30秒,如果用户一次登录花费时长超过30秒,就不允许访问,必须重新登录)、错误尝试最大次数参数(例如:3次;3次之后拒绝登录尝试)、使用协议类型参数、登录用户类型参数(例如:非超级用户)。
身份验证模块PAM:
PAM提供四个安全领域(账户限制、用户识别、密码管理、连接管理)的特性,但是应用程序不太可能同时需要所有这些方面,例如,passwd命令只需要下面列表中的第三组:
Account处理账户限制,对于有效的用户,允许他做什么?
Auth处理用户识别,例如,通过输入用户名和密码。
Password处理密码管理,比如设置新密码。
Session处理连接管理,包括日志记录。
在/etc/pam.d目录中为将使用的PAM的每个应用程序创建一个配置文件,文件名与应用程序名相同。例如,login命令的配置文件是/etc/pam.d/login。
必须定义将应用那些单元,创建一个动作”堆”。PAM运行堆中的所有单元,根据他们的结果允许或拒绝用户的请求。还必须定义检查是否是必需的。最后,other文件为没有特殊规则的所有应用程序提供默认规则。
Optional单元可以成功,也可以失败;PAM根据单元是否最终成功返回success或failure。
Required单元必须成功,如果失败,PAM返回failure,但是会在运行堆中的其他单元之后返回。
Requisite单元也必须成功,但是,如果失败,PAM立即返回failure,不再运行其他单元。
Sufficient单元在成功时导致PAM立即返回success,不再运行其他单元。
配置文件的结构很简单。可以包含注释,通过在换行处加上反斜杠(\),可以把长的行分为多行;行有三个字段:领域(account,auth,password或session)控制标志(optional,required,requisite或sufficient),将运行的模块的路径和参数。另外,可以使用include规则以包含其他文件中的规则,比如auth include common-account。
特殊的/etc/pam.d/other文件是“默认的”配置文件(见列表1),其中的规则自动地应用于没有自己的配置文件的所有应用程序,为了确保安全,应该快速检查/etc/pam.d目录,把不使用的所有配置文件改为其他名称(这样就会使用other配置)。如果认为确实需要某个应用程序,那么只需要把配置文件改回原来的名称。默认配置通常拒绝所有请求(通过使用pam_deny.so模块)并警告管理员(pam_warn.so模块),让管理员解决问题。
标准的“other”配置文件为没有自己的配置文件的所有应用程序提供安全的默认规则(拒绝所有请求)。
标准的“other”配置文件
列表1
如果把pam_deny.so替换为pam_unix.so,就应用标准的身份验证方法(输入用户名和密码);如果不关心安全性,那么使用pam_permit.so,这会允许任何请求!
使用PAM限制谁可以连接到服务器,必须编辑/etc/pam.d/sshd文件,让它和列表2一样。
列表2.在sshd PAM文件中添加pam_access.so
在sshd PAM文件中添加pam_access.so,就可以轻松定义谁可以使用SSH连接计算机。Pam_access.so模块实现基于/etc/security/access.conf文件的安全控制。见列表,3。
列表3.通过使用pam_access.so,定义谁可以或不可以使用SSH
第一行运行任何用户(ALL)从内部网络登录;中间两行运行用户jack和jill从任何地方访问服务器;最后一行拒绝其他任何用户从其他任何地方访问。允许多个用户访问的另一种方法是使用pam_listfile.so,这需要创建一个允许访问的用户列表(例如/etc/ssh_users)。在/etc/pam.d/sshd文件中添加以下行:
另外,必须修改/etc/ssh/sshd_config文件,让它使用PAM。在此文件中添加UsePAM yes行,重启SSHD守护进程,这样就行了!
步骤102:服务器接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;
认证信息包括用户名、密码。
服务器接收外部连接请求之前,还包括:服务器关闭所有端口并隐藏。
服务器预先存储端口与预定义尝试序列对应关系。
服务器预先安装敲门守护进程knockd;用于监视敲门序列,当发现有效的敲门序列(与访问端口对应的预定义的尝试序列)时执行相应的操作。
如果愿意,可以从头构建它,但是大多数发行版中都有这个包,最好使用包管理工具安装它。
例如,在OpenSUSE中,可以使用Yast2或通过执行sudo zypper installknockd安装它;在Ubuntu中可以使用sudo apt-get install knockd;在Debian中使用sudo aptitude install knockd;用发行版的软件安装工具搜索knockd都能找到它。
安装敲门守护进程knockd包之后,编辑/etc/knockd.conf文件以指定端口敲门规则,然后启动守护进程。
为了完成所需要的设置,必须了解你的防火墙的工作方式。例如,在OpenSUSE中,可以使用列表5这样的设置。
列表4.针对OpenSUSE防火墙设计的示例配置文件。
这个例子在用户依次在端口7000,8000,9000上敲门之后启用SSH访问。
在启动knockd之前,关闭端口19908并尝试远程登录,这个尝试应该会失败。见列表5.
列表5.如果禁用SSH访问而且不启动敲门守护进程,登录尝试会失败。
>ssh the.url.for.your.site-p 19908-o ConnectTimeout=15
ssh:connect to hcst the.url.for.your.site port 19908:Connection timed out
现在,使用sudo/etc/init.d/knockd start或sudo knockd-d启动端口敲门守护进程,然后在试一下。端口敲门序列要求在端口7000,8000,9000上敲门,必须在15秒内完成这个序列,识别出序列之后端口打开,必须在30秒内登录,否则,端口再次关闭。
为了检验这个过程,再次远程连接并登录,这一次提供所需的敲门序列,见列表6.注意在安装knockd时通常也会安装knock命令。如果没有,只需用发行版的包管理工具搜索它。
列表6.提供所需的敲门序列之后登录成功
>knock the.url.for.your.site 7000
>knock the.url.for.your.site 8000
>knock the.url.for.your.site 9000
>ssh the.url.for.your.site-p 19908-o ConnectTimeour=10
Password:
如果提供了错误的敲门序列(或根本没有敲门),会收到“Connectiontimed out”消息,SSH端口仍然会完全关闭,看不出它是存在的。
敲门配置
/etc/knockd.conf文件有一个一般选项小节options,希望使用的每个敲门序列各有一个小节。选项可以是大写,小写或者大小写混合模式。
在默认情况下,knockd监视eth0接口。要想使用另一个接口(如eth1),可以包含Interface=eth1行。注意,只使用设备名而不是设备的完整路径。
如果启用日志记录,通过包含useSyslog行使用标准的Linux日志文件,也可以通过LogFile=/the/full/path/to/your/file使用自己的文件。但是,应该认识到日志记录是一个漏洞,如果入侵者获得日志,就会掌握端口敲门序列。
步骤103:认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
若用户为授权用户,则认证通过。
图2所示为本发明实施例2的防止网络攻击系统结构图,包括终端、服务器;其中,所述终端与所述服务器连接;
所述服务器,用于采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;还用于接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;还用于认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
相较于之前技术,本发明提供的一种防止网络攻击方法及系统,使用多级方式加强计算机的远程连接安全,使入侵者在尝试突破并控制计算机时难度增大,从而确保计算机的安全。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种防止网络攻击方法,其特征在于,包括以下步骤:
服务器采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;
服务器接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;
认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
2.根据权利要求1所述的方法,其特征在于,服务器接收外部连接请求之前,还包括:服务器关闭所有端口并隐藏。
3.根据权利要求1所述的方法,其特征在于,服务器预先存储端口与预定义尝试序列对应关系。
4.根据权利要求1所述的方法,其特征在于,服务器预先安装敲门守护进程knockd用于监视敲门序列。
5.根据权利要求1所述的方法,其特征在于,预设端口为19908.1024以上的号码中的任意一个。
6.根据权利要求1所述的方法,其特征在于,配置参数包括:一次登录花费最大时长参数、错误尝试最大次数参数、使用协议类型参数、登录用户类型参数。
7.一种防止网络攻击系统,其特征在于,包括终端、服务器;其中,所述终端与所述服务器连接;
所述服务器,用于采用预设端口替换与SSH连接的标准端口后,对SSH配置文件中的配置参数进行设置;还用于接收终端发送的外部连接请求后,若识别出与访问端口对应的预定义的尝试序列即敲门序列后,则打开所述访问端口并向所述终端提示输入认证信息;还用于认证通过后,所述服务器根据获取的SSH配置文件中的配置参数,控制所述终端的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510003878.5A CN104639536A (zh) | 2015-01-05 | 2015-01-05 | 一种防止网络攻击方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510003878.5A CN104639536A (zh) | 2015-01-05 | 2015-01-05 | 一种防止网络攻击方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104639536A true CN104639536A (zh) | 2015-05-20 |
Family
ID=53217850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510003878.5A Pending CN104639536A (zh) | 2015-01-05 | 2015-01-05 | 一种防止网络攻击方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104639536A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016197782A3 (zh) * | 2016-03-16 | 2017-02-02 | 中兴通讯股份有限公司 | 一种服务端口管理的方法、装置和计算机可读存储介质 |
| CN106778281A (zh) * | 2016-11-10 | 2017-05-31 | 乐视控股(北京)有限公司 | 一种修复安全漏洞的方法、装置及电子设备 |
| CN107248911A (zh) * | 2017-06-02 | 2017-10-13 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
| CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
| CN108449354A (zh) * | 2018-03-30 | 2018-08-24 | 杭州安恒信息技术股份有限公司 | 一种基于敲门约定的加固服务器登录安全方法、装置及服务器 |
| CN111565193A (zh) * | 2020-05-12 | 2020-08-21 | 广州锦行网络科技有限公司 | 一种安全隐蔽访问控制方法 |
| CN112118240A (zh) * | 2020-09-08 | 2020-12-22 | 中国第一汽车股份有限公司 | 一种数据获取方法、装置、设备及存储介质 |
| CN112491867A (zh) * | 2020-11-24 | 2021-03-12 | 北京航空航天大学 | 一种基于会话相似性分析的ssh中间人攻击检测系统 |
| CN113037785A (zh) * | 2021-05-26 | 2021-06-25 | 杭州海康威视数字技术股份有限公司 | 多层次全周期物联网设备僵尸网络防御方法、装置及设备 |
| CN115277679A (zh) * | 2022-07-29 | 2022-11-01 | 山石网科通信技术股份有限公司 | 文件同步方法和系统 |
| CN117220976A (zh) * | 2023-09-25 | 2023-12-12 | 北京网藤科技有限公司 | 提升本地网络Web服务的合规性和安全性的方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103635940A (zh) * | 2011-05-02 | 2014-03-12 | 阿派基公司 | 用于使用便携式电子装置控制锁定机构的系统和方法 |
-
2015
- 2015-01-05 CN CN201510003878.5A patent/CN104639536A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103635940A (zh) * | 2011-05-02 | 2014-03-12 | 阿派基公司 | 用于使用便携式电子装置控制锁定机构的系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张律、钟圆圆: ""强化SSH安全的三种方法"", 《科技信息》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204886A (zh) * | 2016-03-16 | 2017-09-26 | 中兴通讯股份有限公司 | 一种服务端口管理的方法及装置 |
| WO2016197782A3 (zh) * | 2016-03-16 | 2017-02-02 | 中兴通讯股份有限公司 | 一种服务端口管理的方法、装置和计算机可读存储介质 |
| CN106778281A (zh) * | 2016-11-10 | 2017-05-31 | 乐视控股(北京)有限公司 | 一种修复安全漏洞的方法、装置及电子设备 |
| CN107248911A (zh) * | 2017-06-02 | 2017-10-13 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
| CN107248911B (zh) * | 2017-06-02 | 2020-11-06 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
| CN107707542A (zh) * | 2017-09-28 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种防止ssh破解的方法及系统 |
| CN108449354A (zh) * | 2018-03-30 | 2018-08-24 | 杭州安恒信息技术股份有限公司 | 一种基于敲门约定的加固服务器登录安全方法、装置及服务器 |
| CN111565193B (zh) * | 2020-05-12 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种安全隐蔽访问控制方法 |
| CN111565193A (zh) * | 2020-05-12 | 2020-08-21 | 广州锦行网络科技有限公司 | 一种安全隐蔽访问控制方法 |
| CN112118240A (zh) * | 2020-09-08 | 2020-12-22 | 中国第一汽车股份有限公司 | 一种数据获取方法、装置、设备及存储介质 |
| CN112491867A (zh) * | 2020-11-24 | 2021-03-12 | 北京航空航天大学 | 一种基于会话相似性分析的ssh中间人攻击检测系统 |
| CN113037785A (zh) * | 2021-05-26 | 2021-06-25 | 杭州海康威视数字技术股份有限公司 | 多层次全周期物联网设备僵尸网络防御方法、装置及设备 |
| CN115277679A (zh) * | 2022-07-29 | 2022-11-01 | 山石网科通信技术股份有限公司 | 文件同步方法和系统 |
| CN115277679B (zh) * | 2022-07-29 | 2024-04-12 | 山石网科通信技术股份有限公司 | 文件同步方法和系统 |
| CN117220976A (zh) * | 2023-09-25 | 2023-12-12 | 北京网藤科技有限公司 | 提升本地网络Web服务的合规性和安全性的方法及系统 |
| CN117220976B (zh) * | 2023-09-25 | 2024-01-30 | 北京网藤科技有限公司 | 提升本地网络Web服务的合规性和安全性的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104639536A (zh) | 一种防止网络攻击方法及系统 | |
| US9906534B2 (en) | Remote access to resources over a network | |
| US8359464B2 (en) | Quarantine method and system | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| US7827590B2 (en) | Controlling access to a set of resources in a network | |
| EP1782265B1 (en) | System and method for secure network connectivity | |
| US9781096B2 (en) | System and method for out-of-band application authentication | |
| US10425419B2 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
| US20050138417A1 (en) | Trusted network access control system and method | |
| US20160142914A1 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| US9021253B2 (en) | Quarantine method and system | |
| CN110781465B (zh) | 基于可信计算的bmc远程身份验证方法及系统 | |
| JP5722778B2 (ja) | 少なくとも1つのサービスを提供するためのサーバシステムおよびその方法 | |
| CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN105451225B (zh) | 一种接入认证方法及接入认证设备 | |
| KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
| KR20060101800A (ko) | 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법 | |
| Cisco | Authentication Server Panel | |
| Cisco | Authentication Server Panel | |
| Cisco | Configuring Security | |
| Cisco | Configuring Kerberos | |
| CN114374529A (zh) | 资源访问方法、装置、系统、电子设备、介质及程序 | |
| KR102576357B1 (ko) | 제로 트러스트 보안인증 시스템 | |
| CN117596237B (zh) | 一种基于移动终端的服务器远程控制系统和方法 | |
| Carthern et al. | Management Plane |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150520 |