CN105491016A - 一种隐藏网络tcp端口的方法 - Google Patents

一种隐藏网络tcp端口的方法 Download PDF

Info

Publication number
CN105491016A
CN105491016A CN201510817894.8A CN201510817894A CN105491016A CN 105491016 A CN105491016 A CN 105491016A CN 201510817894 A CN201510817894 A CN 201510817894A CN 105491016 A CN105491016 A CN 105491016A
Authority
CN
China
Prior art keywords
port
tcp
connection
time
connects
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510817894.8A
Other languages
English (en)
Inventor
陈川
葛良全
覃章健
刘培培
康凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Univeristy of Technology
Original Assignee
Chengdu Univeristy of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Univeristy of Technology filed Critical Chengdu Univeristy of Technology
Priority to CN201510817894.8A priority Critical patent/CN105491016A/zh
Publication of CN105491016A publication Critical patent/CN105491016A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种隐藏网络TCP端口的方法,设置一个时间计数器,设置一个相关的配置文件,配置该管理端口的应答策略;当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间;当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行;TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。本发明的有益效果是使得正常探测到该端口的时候,会认为该端口处于关闭状态,不予以响应,而管理员则可以通过实施一系列手段从而正常地访问该端口。

Description

一种隐藏网络TCP端口的方法
技术领域
本发明属于计算机网络安全技术领域,涉及一种隐藏网络TCP端口的方法。
背景技术
当前网络连接的安全通道一般采用TCP/IP的三次握手后,开始进行身份识别和口令验证。有代表性的安全传输协议包括SSH,HTTPs,SSL,TCPTunnel等。需要安全连接的服务可以建立在以上安全协议进行数据的传输。
网络攻击者或恶意代码一般的攻击手段针对性的攻击者会采用随机和区间段的方式进行大规模端口扫描,在确认端口开放的情况下,再进行下一步操作。而当前的TCP连接都是建立在三次握手后才进行身份确认,所以当前的安全协议都无法回避被攻击者感知端口存在的风险。如果登录口令被破解,或该服务出现严重漏洞。如“Heartbleed”漏洞,使得基于该端口业务的安全性无法得到保障。
发明内容
本发明的目的在于提供一种隐藏网络TCP端口的方法,解决了当前的TCP连接都是建立在三次握手后才进行身份确认,所以当前的安全协议都无法回避被攻击者感知端口存在的风险问题。
本发明所采用的技术方案是按照以下步骤进行:
S01,设置一个时间计数器,包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口。
S02,设置一个相关的配置文件,配置该管理端口的应答策略。
S03,当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间。
S04,当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行。
S05,TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。
进一步,所述S02中,应答策略为1分钟同一IP内三次访问予以放行;所述S04中,查询历史访问记录是否在1分种内被拒绝为三次则在本次连接时予以放行。
本发明的有益效果是使得正常探测到该端口的时候,会认为该端口处于关闭状态,不予以响应,而管理员则可以通过实施一系列手段从而正常地访问该端口。
附图说明
图1是本发明隐藏网络TCP端口的方法示意图。
具体实施方式
下面结合具体实施方式对本发明进行详细说明。
本发明隐藏网络TCP端口的方法如图1所示,按照以下步骤进行:
S01,设置一个时间计数器。其中包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口。
S02,设置一个相关的配置文件,配置该管理端口的应答策略。如1分种同一IP内三次访问予以放行。
S03,当有新的连接进来,给予拒绝响应。即反馈TCPreset数据包。同时将该TCP连接计数为1,并设置当前时间。
S04,当有历史连接进来,查询历史访问记录是否在1分种内被拒绝了三次,如果是,则在本次连接时予以放行。
S05,当超过1分钟,则予以清除历史记录,并予以重新计数。
本发明采用”敲门暗号“的方式,在初联端口的时间给予正常的拒绝响应。但满足一定的敲门顺序后,则开口问答对方是谁。所以管理者可以通过预先定义的敲门次数和频率,甚至跨几个预置的不常用的高位端口访问序列作为验证策略,使业务统认为当前来源IP的人是可信任的,然后给予正常连接放行到指定的管理服务上(如SSH),管理者由此即可以正常的进行身份认证。否则,来源将无法得知该端口是开放的,从而放弃连接。
本发明的配置策略具体如下:
1.访问时间及频率:即在单位时间内,同一IP来源的请求是否达到上限,如3次。如果超过3次,则予以放行到管理服务端口。
2.访问端口顺序:通过设置一系列高位端口,如1002,20323,30001,在每个端口上请求的次数和顺序作为验证的依据。
3.混合以上策略:结合以上1,2的策略,实现强度更大的验证机制。
本发明原理是利用端口拒绝响应次数和频度作为验证访问者的身份依据。利用多个端口拒绝响应的访问序列和次数作为验证访问者的身份依据。
本发明的优点还在于:
1.可以将端口通道隐藏在关闭的端口中,使得攻击者无法验证该端口是否开放可用。从而进一步保证了基于该端口业务的安全性。
2.通过在即有的安全协议通道上补助了隐藏能力,实施成本低,而安全系数在即有服务的基础得到进一步加强。
以上所述仅是对本发明的较佳实施方式而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任何简单修改,等同变化与修饰,均属于本发明技术方案的范围内。

Claims (2)

1.一种隐藏网络TCP端口的方法,其特征在于,按照以下步骤进行:
S01,设置一个时间计数器,包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口;
S02,设置一个相关的配置文件,配置该管理端口的应答策略;
S03,当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间;
S04,当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行;
S05,TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。
2.按照权利要求1所述一种隐藏网络TCP端口的方法,其特征在于:所述S02中,应答策略为1分钟同一IP内三次访问予以放行;所述S04中,查询历史访问记录是否在1分种内被拒绝为三次则在本次连接时予以放行。
CN201510817894.8A 2015-07-21 2015-11-20 一种隐藏网络tcp端口的方法 Pending CN105491016A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510817894.8A CN105491016A (zh) 2015-07-21 2015-11-20 一种隐藏网络tcp端口的方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510428919 2015-07-21
CN2015104289195 2015-07-21
CN201510817894.8A CN105491016A (zh) 2015-07-21 2015-11-20 一种隐藏网络tcp端口的方法

Publications (1)

Publication Number Publication Date
CN105491016A true CN105491016A (zh) 2016-04-13

Family

ID=55677734

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510817894.8A Pending CN105491016A (zh) 2015-07-21 2015-11-20 一种隐藏网络tcp端口的方法

Country Status (1)

Country Link
CN (1) CN105491016A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107248911A (zh) * 2017-06-02 2017-10-13 中国石油大学(华东) 一种基于地址敲门的扩展序列隐蔽认证方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030131079A1 (en) * 2001-11-13 2003-07-10 Ems Technologies, Inc. Performance enhancing proxy techniques for internet protocol traffic
US20050050358A1 (en) * 2003-08-25 2005-03-03 Dong Lin Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers
US20070300290A1 (en) * 2002-11-18 2007-12-27 Trusted Network Technologies Establishing Secure TCP/IP Communications Using Embedded IDs
CN102281295A (zh) * 2011-08-06 2011-12-14 黑龙江大学 一种缓解分布式拒绝服务攻击的方法
CN103347016A (zh) * 2013-06-28 2013-10-09 天津汉柏汉安信息技术有限公司 一种攻击的防御方法
CN103491061A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 缓解攻击方法、序列号提供方法及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030131079A1 (en) * 2001-11-13 2003-07-10 Ems Technologies, Inc. Performance enhancing proxy techniques for internet protocol traffic
US20070300290A1 (en) * 2002-11-18 2007-12-27 Trusted Network Technologies Establishing Secure TCP/IP Communications Using Embedded IDs
US20050050358A1 (en) * 2003-08-25 2005-03-03 Dong Lin Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers
CN102281295A (zh) * 2011-08-06 2011-12-14 黑龙江大学 一种缓解分布式拒绝服务攻击的方法
CN103491061A (zh) * 2012-06-13 2014-01-01 华为技术有限公司 缓解攻击方法、序列号提供方法及设备
CN103347016A (zh) * 2013-06-28 2013-10-09 天津汉柏汉安信息技术有限公司 一种攻击的防御方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107248911A (zh) * 2017-06-02 2017-10-13 中国石油大学(华东) 一种基于地址敲门的扩展序列隐蔽认证方法
CN107248911B (zh) * 2017-06-02 2020-11-06 中国石油大学(华东) 一种基于地址敲门的扩展序列隐蔽认证方法

Similar Documents

Publication Publication Date Title
US9848016B2 (en) Identifying malicious devices within a computer network
EP2545680B1 (en) Behavior-based security system
CN109729180A (zh) 全体系智慧社区平台
CN110830446B (zh) 一种spa安全验证的方法和装置
CN108959966A (zh) 基于大数据管理分析的云平台审计系统
CN107147627A (zh) 一种基于大数据平台的网络安全防护方法及系统
Damghani et al. Classification of attacks on IoT
WO2014151591A2 (en) A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network
CN202652534U (zh) 移动终端安全接入平台
CN106888091A (zh) 基于eap的可信网络接入方法和系统
CN106534110B (zh) 一种三位一体的变电站二次系统安全防护体系架构系统
CN105491016A (zh) 一种隐藏网络tcp端口的方法
Nair et al. Security attacks in internet of things
CN204697072U (zh) 一种网络终端节点的安全接入管控系统
Kumar et al. Cybersecurity Threats, Detection Methods, and Prevention Strategies in Smart Grid
CN105471857A (zh) 一种电网终端非法外联监测阻断方法
Li et al. Research on security issues of military Internet of Things
CN108768996A (zh) 一种sql注入攻击的检测防护系统
Del Pozo et al. Creating smart environments: analysis of improving security on smart homes
Shah et al. Disclosing malicious traffic for Network Security
Koshy et al. Security and Privacy Threats in IoT-Enabled Smart Cities
CN206728053U (zh) 一种基于网络安全的大数据处理系统
Hosen et al. Evaluation of Cyber Security in Smart Grid Networks
Selvaraj et al. Security Vulnerabilities, Threats, and Attacks in IoT and Big Data: Challenges and Solutions
CN106100889A (zh) 一种snmp协议安全的增强方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160413

RJ01 Rejection of invention patent application after publication