CN106549936A - 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 - Google Patents

一种基于多路vpn负载均衡的扫描器反溯源方法和设备 Download PDF

Info

Publication number
CN106549936A
CN106549936A CN201610866042.2A CN201610866042A CN106549936A CN 106549936 A CN106549936 A CN 106549936A CN 201610866042 A CN201610866042 A CN 201610866042A CN 106549936 A CN106549936 A CN 106549936A
Authority
CN
China
Prior art keywords
vpn
multichannel
vps
load balancing
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610866042.2A
Other languages
English (en)
Inventor
张弘引
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Future Information Technology Co Ltd
Original Assignee
Beijing Future Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Future Information Technology Co Ltd filed Critical Beijing Future Information Technology Co Ltd
Priority to CN201610866042.2A priority Critical patent/CN106549936A/zh
Publication of CN106549936A publication Critical patent/CN106549936A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于多路VPN负载均衡的扫描器反溯源方法和设备。该方法通过多个VPS服务器建立多路VPN连接,漏洞扫描器通过多路VPN接入互联网以对扫描目标进行扫描操作;进行扫描操作时,通过所述多路VPN将扫描请求分散到多个VPN出口上,以隐藏扫描者的出口IP并增加工作带宽。所述多路VPN对漏洞扫描器提供网关服务,以防止因为VPN意外掉线导致的出口IP泄露。所述多路VPN对数据包采用负载均衡策略或者随机选路策略来进行网络路由选择。本发明能够提升扫描效率,在达到隐藏自身IP目的的同时,能够分散了出口IP的流量,降低其被封的可能性。

Description

一种基于多路VPN负载均衡的扫描器反溯源方法和设备
技术领域
本发明属于信息技术、网络技术领域,具体涉及一种基于多路VPN负载均衡的扫描器反溯源方法和设备。
背景技术
漏洞扫描器扫描目标时通常要直接和对方建立网络连接,会暴露使用者的IP(Internet Protocol,因特网互联协议)地址,通过IP地址,可能会暴露用户的所在地,所在学校或单位等敏感信息,泄漏用户的隐私。
传统方法是使用socks代理服务或一路VPN(Virtual Private Network,虚拟专用网)来进行扫描,达到隐藏自己的目的。但是其存在如下缺点:
1)使用socks代理服务,会有部分协议(如ping命令使用的icmp协议)无法通过代理而直接从真实的IP出口发出,导致出口IP泄露而容易被溯源。
2)使用单路的VPN可以实现隐藏自身真实IP,但是VPN线路的带宽通常很有限,会拖慢扫描的速度。并且由于发包的源IP集中,容易触发对方的防御策略,或导致VPN的出口IP被对方管理员注意。并且当VPN掉线时,扫描请求会直接通过默认网络发出,导致出口IP泄露而容易被溯源。
发明内容
本发明针对上述问题,提供一种基于多路VPN负载均衡的扫描器反溯源方法和设备,能够提升扫描效率,在达到隐藏自身IP目的的同时,分散了出口IP的流量,降低了被封的可能性。
本发明采用的技术方案如下:
一种基于多路VPN负载均衡的扫描器反溯源方法,通过多个VPS服务器建立多路VPN连接,漏洞扫描器通过多路VPN接入互联网以对扫描目标进行扫描操作;进行扫描操作时,通过所述多路VPN将扫描请求分散到多个VPN出口上,以隐藏扫描者的出口IP并增加工作带宽。
进一步地,所述多路VPN对漏洞扫描器提供网关服务,以防止因为VPN意外掉线导致的出口IP泄露。
进一步地,所述多路VPN对数据包采用负载均衡策略来进行网络路由选择。
进一步地,所述多路VPN采用随机选路策略来进行网络路由选择。
一种基于多路VPN负载均衡的扫描器反溯源设备,其包括:
VPS信息录入模块,用于录入VPS登录信息;
VPS帐号密码登录子模块,用于进行VPS帐号密码登录;
VPS帐号公私钥登录子模块,用于进行VPS帐号公私钥登录;
VPN部署模块,用于部署VPN服务;
VPN拨号连接模块,用于进行拨号连接,连接到部署好的VPN服务上;
VPN路由选择模块,用于进行网络路由选择;
VPN负载均衡子模块,用于使用负载均衡来进行网络路由选择;
VPN随机选路子模块,用于使用随机选路来进行网络路由选择;
网关模块,用于提供网关服务。
进一步地,所述VPS登录信息包括:VPS服务器的IP地址,SSH服务端口,用户名,以及密码或公私钥信息。
进一步地,通过VPS帐号密码登录子模块和VPS帐号公私钥登录子模块,客户端使用登录信息自动登录到VPS服务器上,在服务器端通过VPN部署模块自动部署VPN服务端程序;然后客户端通过VPN拨号连接模块,使用预设的VPN密钥进行拨号连接,连接到部署好的VPN服务上。
进一步地,在连接VPN服务后,根据用户的选择,使用负载均衡或随机选路来提供网络路由策略。
本发明的技术方案具有的有益效果如下:
(1)本发明做为扫描机(或称扫描器)的网关来使用,能保证扫描机所有的流量均通过本设备发出,只要VPN掉线,扫描机的所有请求都立即无法发出,防止因为VPN意外掉线导致的出口IP泄露。
(2)本发明通过多路VPN的负载均衡策略,让数据包从多个出口发出,在隐藏扫描者的出口IP的同时,提供较大的工作带宽,让漏洞扫描更快更稳定;
(3)本发明提供的自动随机切换策略能够降低因单一IP出口长时间发包导致被发现的可能;
(4)本发明无需用户熟悉Linux命令和掌握配置策略路由等能力,使用自动化的部署和友好的WEB界面来操控,使用简单方便。
附图说明
图1是本发明的系统架构和模块组成示意图。
图2是本发明的网络拓扑示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
图1为本发明的系统架构图,其中VPS为虚拟专用服务器(Virtual PrivateServer),具体包括如下模块:
VPS信息录入模块101,用于录入VPS登录信息;
VPS帐号密码登录子模块102,用于进行VPS帐号密码登录;
VPS帐号公私钥登录子模块103,用于进行VPS帐号公私钥登录;
VPN部署模块201,用于部署VPN服务;
VPN拨号连接模块301,用于进行拨号连接,连接到部署好的VPN服务上;
VPN路由选择模块401,用于进行网络路由选择;
VPN负载均衡子模块402,用于使用负载均衡来提供网络路由策略;
VPN随机选路子模块403,用于使用随机选路来提供网络路由策略;
网关模块501,用于提供网关服务。
上述系统(设备)的工作流程如下:
步骤1,VPS信息录入模块101录入VPS的登录信息,需要有VPS服务器的IP地址,SSH(Secure SHell,一种用于远程登录的服务)服务端口,用户名,密码或公私钥信息;
步骤2,客户端通过VPS帐号密码登录子模块102和VPS帐号公私钥登录子模块103,使用步骤1提供的登录信息自动登录到VPS服务器上,在服务器端通过VPN部署模块201自动部署VPN服务端程序;
步骤3,客户端通过VPN拨号连接模块301,使用预设的VPN密钥进行拨号连接,连到步骤2中部署好的VPN服务上;
步骤4,VPN服务连接后,根据用户的选择,使用基于ip route2的负载均衡或随机选路脚本(VPN负载均衡子模块402、VPN随机选路子模块403)来提供网络路由策略;
步骤5,由本设备提供网关服务(网关模块501),配置同一子网的扫描器通过本设备接入互联网进行扫描操作即可。
图2是整套系统的网络拓扑示意图。如该图所示,本发明通过多路VPN负载均衡的方法,使多路VPN的带宽集中起来给扫描器(图2中的扫描机1~m)使用,以提升扫描效率。同时使扫描请求分散到多个VPN出口上,达到隐藏自身IP目的的同时,分散了出口IP的流量,降低了被封的可能性。
本发明不限于具体的VPN实现方式,openvpn,pptp,l2tp或shadowvpn等均可使用。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (8)

1.一种基于多路VPN负载均衡的扫描器反溯源方法,其特征在于,通过多个VPS服务器建立多路VPN连接,漏洞扫描器通过多路VPN接入互联网以对扫描目标进行扫描操作;进行扫描操作时,通过所述多路VPN将扫描请求分散到多个VPN出口上,以隐藏扫描者的出口IP并增加工作带宽。
2.如权利要求1所述的方法,其特征在于:所述多路VPN对漏洞扫描器提供网关服务,以防止因为VPN意外掉线导致的出口IP泄露。
3.如权利要求1或2所述的方法,其特征在于:所述多路VPN对数据包采用负载均衡策略来进行网络路由选择。
4.如权利要求1或2所述的方法,其特征在于:所述多路VPN采用随机选路策略来进行网络路由选择。
5.一种基于多路VPN负载均衡的扫描器反溯源设备,其特征在于,包括:
VPS信息录入模块,用于录入VPS登录信息;
VPS帐号密码登录子模块,用于进行VPS帐号密码登录;
VPS帐号公私钥登录子模块,用于进行VPS帐号公私钥登录;
VPN部署模块,用于部署VPN服务;
VPN拨号连接模块,用于进行拨号连接,连接到部署好的VPN服务上;
VPN路由选择模块,用于进行网络路由选择;
VPN负载均衡子模块,用于使用负载均衡来进行网络路由选择;
VPN随机选路子模块,用于使用随机选路来进行网络路由选择;
网关模块,用于提供网关服务。
6.如权利要求5所述的设备,其特征在于,所述VPS登录信息包括:VPS服务器的IP地址,SSH服务端口,用户名,以及密码或公私钥信息。
7.如权利要求5或6所述的设备,其特征在于,通过VPS帐号密码登录子模块和VPS帐号公私钥登录子模块,客户端使用登录信息自动登录到VPS服务器上,在服务器端通过VPN部署模块自动部署VPN服务端程序;然后客户端通过VPN拨号连接模块,使用预设的VPN密钥进行拨号连接,连接到部署好的VPN服务上。
8.如权利要求7所述的设备,其特征在于,在连接VPN服务后,根据用户的选择,使用负载均衡或随机选路来提供网络路由策略。
CN201610866042.2A 2016-09-29 2016-09-29 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 Pending CN106549936A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610866042.2A CN106549936A (zh) 2016-09-29 2016-09-29 一种基于多路vpn负载均衡的扫描器反溯源方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610866042.2A CN106549936A (zh) 2016-09-29 2016-09-29 一种基于多路vpn负载均衡的扫描器反溯源方法和设备

Publications (1)

Publication Number Publication Date
CN106549936A true CN106549936A (zh) 2017-03-29

Family

ID=58368282

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610866042.2A Pending CN106549936A (zh) 2016-09-29 2016-09-29 一种基于多路vpn负载均衡的扫描器反溯源方法和设备

Country Status (1)

Country Link
CN (1) CN106549936A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107835151A (zh) * 2017-09-21 2018-03-23 北京知道未来信息技术有限公司 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置
CN110191105A (zh) * 2019-05-13 2019-08-30 南京赛宁信息技术有限公司 OpenStack加密链路实现方法及系统
CN110601889A (zh) * 2019-09-16 2019-12-20 上海梦鱼信息科技有限公司 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN113194160A (zh) * 2021-04-22 2021-07-30 西安交通大学 一种大跨域ip地址快速动态切换系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064736A (zh) * 2006-04-30 2007-10-31 飞塔信息科技(北京)有限公司 一种计算机网络风险评估的装置及其方法
CN101562609A (zh) * 2009-05-27 2009-10-21 西北大学 Vpn网络安全漏洞检测全局准入控制系统
CN102801695A (zh) * 2011-05-27 2012-11-28 华耀(中国)科技有限公司 虚拟专用网通信设备及其数据包传输方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064736A (zh) * 2006-04-30 2007-10-31 飞塔信息科技(北京)有限公司 一种计算机网络风险评估的装置及其方法
CN101562609A (zh) * 2009-05-27 2009-10-21 西北大学 Vpn网络安全漏洞检测全局准入控制系统
CN102801695A (zh) * 2011-05-27 2012-11-28 华耀(中国)科技有限公司 虚拟专用网通信设备及其数据包传输方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
VPS侦探: ""SSH密钥登录让Linux VPS/服务器更安全"", 《HTTPS://WWW.VPSER.NET/SECURITY/LINUX-SSH-AUTHORIZED-KEYS-LOGIN.HTML》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107835151A (zh) * 2017-09-21 2018-03-23 北京知道未来信息技术有限公司 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置
CN110191105A (zh) * 2019-05-13 2019-08-30 南京赛宁信息技术有限公司 OpenStack加密链路实现方法及系统
CN110601889A (zh) * 2019-09-16 2019-12-20 上海梦鱼信息科技有限公司 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN110601889B (zh) * 2019-09-16 2022-07-26 上海梦鱼信息科技有限公司 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN113194160A (zh) * 2021-04-22 2021-07-30 西安交通大学 一种大跨域ip地址快速动态切换系统及方法

Similar Documents

Publication Publication Date Title
Kiravuo et al. A survey of Ethernet LAN security
US9015855B2 (en) Secure tunneling platform system and method
CN106549936A (zh) 一种基于多路vpn负载均衡的扫描器反溯源方法和设备
Gaur et al. A survey of virtual private LAN services (VPLS): Past, present and future
Tongkaw et al. Multi-VLAN design over IPSec VPN for campus network
CN107426100B (zh) 一种基于用户组的vpn用户接入方法及装置
Clarke 1,001 CCNA Routing and Switching Practice Questions For Dummies (+ Free Online Practice)
EP3836487A1 (en) Internet access behavior management system, device and method
Forbacha et al. Design and Implementation of a Secure Virtual Private Network Over an Open Network (Internet)
Lammle et al. CompTIA Network+ Study Guide with Online Labs: N10-007 Exam
Cisco Administering Customer Edge Routers
Wang et al. Implementation of GRE over IPsec VPN enterprise network based on cisco packet tracer
Cisco Cable Access to MPLS VPN Integration
Cisco RA Dial
Cisco Administering Customer Edge Routers
Cisco Configuring the Access VPN to Work with Local AAA
Cisco RA Cable
US20200287868A1 (en) Systems and methods for in-band remote management
Vitalii et al. MPLS VPN TECHNOLOGY
Makeri Design and Implementation of optimized features in a local area network for improvedenterprisenetwork
Vensmer et al. Dynfire: Dynamic firewalling in heterogeneous environments
Donohue et al. CCNP Routing and Switching Quick Reference (642-902, 642-813, 642-832)
Marković et al. Analysis of packet switching in VoIP telephony at the command post of tactical level units
Wang et al. The Research And Analysis On Controlling The Number Of VPN Routes Through VPN Prefix Outbound Route Filter (ORF) Mechanism
Edwards et al. Nortel guide to VPN routing for security and VoIP

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170329

WD01 Invention patent application deemed withdrawn after publication