CN105491016A - 一种隐藏网络tcp端口的方法 - Google Patents
一种隐藏网络tcp端口的方法 Download PDFInfo
- Publication number
- CN105491016A CN105491016A CN201510817894.8A CN201510817894A CN105491016A CN 105491016 A CN105491016 A CN 105491016A CN 201510817894 A CN201510817894 A CN 201510817894A CN 105491016 A CN105491016 A CN 105491016A
- Authority
- CN
- China
- Prior art keywords
- port
- tcp
- connection
- time
- connects
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种隐藏网络TCP端口的方法,设置一个时间计数器,设置一个相关的配置文件,配置该管理端口的应答策略;当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间;当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行;TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。本发明的有益效果是使得正常探测到该端口的时候,会认为该端口处于关闭状态,不予以响应,而管理员则可以通过实施一系列手段从而正常地访问该端口。
Description
技术领域
本发明属于计算机网络安全技术领域,涉及一种隐藏网络TCP端口的方法。
背景技术
当前网络连接的安全通道一般采用TCP/IP的三次握手后,开始进行身份识别和口令验证。有代表性的安全传输协议包括SSH,HTTPs,SSL,TCPTunnel等。需要安全连接的服务可以建立在以上安全协议进行数据的传输。
网络攻击者或恶意代码一般的攻击手段针对性的攻击者会采用随机和区间段的方式进行大规模端口扫描,在确认端口开放的情况下,再进行下一步操作。而当前的TCP连接都是建立在三次握手后才进行身份确认,所以当前的安全协议都无法回避被攻击者感知端口存在的风险。如果登录口令被破解,或该服务出现严重漏洞。如“Heartbleed”漏洞,使得基于该端口业务的安全性无法得到保障。
发明内容
本发明的目的在于提供一种隐藏网络TCP端口的方法,解决了当前的TCP连接都是建立在三次握手后才进行身份确认,所以当前的安全协议都无法回避被攻击者感知端口存在的风险问题。
本发明所采用的技术方案是按照以下步骤进行:
S01,设置一个时间计数器,包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口。
S02,设置一个相关的配置文件,配置该管理端口的应答策略。
S03,当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间。
S04,当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行。
S05,TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。
进一步,所述S02中,应答策略为1分钟同一IP内三次访问予以放行;所述S04中,查询历史访问记录是否在1分种内被拒绝为三次则在本次连接时予以放行。
本发明的有益效果是使得正常探测到该端口的时候,会认为该端口处于关闭状态,不予以响应,而管理员则可以通过实施一系列手段从而正常地访问该端口。
附图说明
图1是本发明隐藏网络TCP端口的方法示意图。
具体实施方式
下面结合具体实施方式对本发明进行详细说明。
本发明隐藏网络TCP端口的方法如图1所示,按照以下步骤进行:
S01,设置一个时间计数器。其中包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口。
S02,设置一个相关的配置文件,配置该管理端口的应答策略。如1分种同一IP内三次访问予以放行。
S03,当有新的连接进来,给予拒绝响应。即反馈TCPreset数据包。同时将该TCP连接计数为1,并设置当前时间。
S04,当有历史连接进来,查询历史访问记录是否在1分种内被拒绝了三次,如果是,则在本次连接时予以放行。
S05,当超过1分钟,则予以清除历史记录,并予以重新计数。
本发明采用”敲门暗号“的方式,在初联端口的时间给予正常的拒绝响应。但满足一定的敲门顺序后,则开口问答对方是谁。所以管理者可以通过预先定义的敲门次数和频率,甚至跨几个预置的不常用的高位端口访问序列作为验证策略,使业务统认为当前来源IP的人是可信任的,然后给予正常连接放行到指定的管理服务上(如SSH),管理者由此即可以正常的进行身份认证。否则,来源将无法得知该端口是开放的,从而放弃连接。
本发明的配置策略具体如下:
1.访问时间及频率:即在单位时间内,同一IP来源的请求是否达到上限,如3次。如果超过3次,则予以放行到管理服务端口。
2.访问端口顺序:通过设置一系列高位端口,如1002,20323,30001,在每个端口上请求的次数和顺序作为验证的依据。
3.混合以上策略:结合以上1,2的策略,实现强度更大的验证机制。
本发明原理是利用端口拒绝响应次数和频度作为验证访问者的身份依据。利用多个端口拒绝响应的访问序列和次数作为验证访问者的身份依据。
本发明的优点还在于:
1.可以将端口通道隐藏在关闭的端口中,使得攻击者无法验证该端口是否开放可用。从而进一步保证了基于该端口业务的安全性。
2.通过在即有的安全协议通道上补助了隐藏能力,实施成本低,而安全系数在即有服务的基础得到进一步加强。
以上所述仅是对本发明的较佳实施方式而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任何简单修改,等同变化与修饰,均属于本发明技术方案的范围内。
Claims (2)
1.一种隐藏网络TCP端口的方法,其特征在于,按照以下步骤进行:
S01,设置一个时间计数器,包括如下几个属性:来源IP地址,首次出现时间,最近出现时间,出现次数,访问的端口;
S02,设置一个相关的配置文件,配置该管理端口的应答策略;
S03,当有新的TCP连接连接进来,给予拒绝响应,同时将该TCP连接计数为1,并设置当前时间;
S04,当TCP连接继续连接进来,查询历史访问记录是否在1分种内被拒绝,如果是,则在本次连接时予以放行;
S05,TCP连接超过1分钟,则予以清除历史记录,并予以重新计数。
2.按照权利要求1所述一种隐藏网络TCP端口的方法,其特征在于:所述S02中,应答策略为1分钟同一IP内三次访问予以放行;所述S04中,查询历史访问记录是否在1分种内被拒绝为三次则在本次连接时予以放行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510817894.8A CN105491016A (zh) | 2015-07-21 | 2015-11-20 | 一种隐藏网络tcp端口的方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510428919 | 2015-07-21 | ||
CN2015104289195 | 2015-07-21 | ||
CN201510817894.8A CN105491016A (zh) | 2015-07-21 | 2015-11-20 | 一种隐藏网络tcp端口的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105491016A true CN105491016A (zh) | 2016-04-13 |
Family
ID=55677734
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510817894.8A Pending CN105491016A (zh) | 2015-07-21 | 2015-11-20 | 一种隐藏网络tcp端口的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105491016A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248911A (zh) * | 2017-06-02 | 2017-10-13 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030131079A1 (en) * | 2001-11-13 | 2003-07-10 | Ems Technologies, Inc. | Performance enhancing proxy techniques for internet protocol traffic |
US20050050358A1 (en) * | 2003-08-25 | 2005-03-03 | Dong Lin | Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers |
US20070300290A1 (en) * | 2002-11-18 | 2007-12-27 | Trusted Network Technologies | Establishing Secure TCP/IP Communications Using Embedded IDs |
CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
-
2015
- 2015-11-20 CN CN201510817894.8A patent/CN105491016A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030131079A1 (en) * | 2001-11-13 | 2003-07-10 | Ems Technologies, Inc. | Performance enhancing proxy techniques for internet protocol traffic |
US20070300290A1 (en) * | 2002-11-18 | 2007-12-27 | Trusted Network Technologies | Establishing Secure TCP/IP Communications Using Embedded IDs |
US20050050358A1 (en) * | 2003-08-25 | 2005-03-03 | Dong Lin | Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers |
CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
CN103347016A (zh) * | 2013-06-28 | 2013-10-09 | 天津汉柏汉安信息技术有限公司 | 一种攻击的防御方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248911A (zh) * | 2017-06-02 | 2017-10-13 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
CN107248911B (zh) * | 2017-06-02 | 2020-11-06 | 中国石油大学(华东) | 一种基于地址敲门的扩展序列隐蔽认证方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848016B2 (en) | Identifying malicious devices within a computer network | |
EP2545680B1 (en) | Behavior-based security system | |
CN109729180A (zh) | 全体系智慧社区平台 | |
CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
CN108959966A (zh) | 基于大数据管理分析的云平台审计系统 | |
CN107147627A (zh) | 一种基于大数据平台的网络安全防护方法及系统 | |
Damghani et al. | Classification of attacks on IoT | |
WO2014151591A2 (en) | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network | |
CN202652534U (zh) | 移动终端安全接入平台 | |
CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
CN106534110B (zh) | 一种三位一体的变电站二次系统安全防护体系架构系统 | |
CN105491016A (zh) | 一种隐藏网络tcp端口的方法 | |
Nair et al. | Security attacks in internet of things | |
CN204697072U (zh) | 一种网络终端节点的安全接入管控系统 | |
Kumar et al. | Cybersecurity Threats, Detection Methods, and Prevention Strategies in Smart Grid | |
CN105471857A (zh) | 一种电网终端非法外联监测阻断方法 | |
Li et al. | Research on security issues of military Internet of Things | |
CN108768996A (zh) | 一种sql注入攻击的检测防护系统 | |
Del Pozo et al. | Creating smart environments: analysis of improving security on smart homes | |
Shah et al. | Disclosing malicious traffic for Network Security | |
Koshy et al. | Security and Privacy Threats in IoT-Enabled Smart Cities | |
CN206728053U (zh) | 一种基于网络安全的大数据处理系统 | |
Hosen et al. | Evaluation of Cyber Security in Smart Grid Networks | |
Selvaraj et al. | Security Vulnerabilities, Threats, and Attacks in IoT and Big Data: Challenges and Solutions | |
CN106100889A (zh) | 一种snmp协议安全的增强方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160413 |
|
RJ01 | Rejection of invention patent application after publication |