CN110233827A - 一种服务器的单层和多层防御系统 - Google Patents
一种服务器的单层和多层防御系统 Download PDFInfo
- Publication number
- CN110233827A CN110233827A CN201910390629.4A CN201910390629A CN110233827A CN 110233827 A CN110233827 A CN 110233827A CN 201910390629 A CN201910390629 A CN 201910390629A CN 110233827 A CN110233827 A CN 110233827A
- Authority
- CN
- China
- Prior art keywords
- server
- node
- intermediate node
- tunnel
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种服务器的单层和多层防御系统,主要采用在客户端和服务器之间设置一个必经节点和一个或多个中间节点,每当黑客通过非常规的手段去追踪服务器真实IP地址时,会在中间节点这个地方产生以假乱真的错觉,本发明的有益效果包括:通过单层和多层防御系统,可以有效隐藏IP地址的信息,且在一定程度上防御部分DDoS流量攻击,防止路由追踪,成本低。
Description
技术领域
本发明涉及服务器反追踪防御领域,具体涉及一种服务器的单层和多层防御系统。
背景技术
随着网络技术的不断进步,网络入侵活动也在不断发展并日趋活跃。在各种网络入侵活动中,针对服务器、特别是关键服务器的网络攻击可以说是最具威胁性、可能造成最大损失的行为。通常黑客都是通过追踪服务器的IP地址,来进行一系列的网络攻击,因此防止服务器IP地址被追踪显得尤为重要。
目前服务器最常见的防IP泄漏的方法是通过代理、各类型的CDN以及网络防火墙程序,此类防御手段一般成本都是比较高的,一般小公司和个人网站服务都是很难承受的。
发明内容
针对上述现有技术中的不足之处,本发明提供一种服务器的单层和多层防御系统,其结构简单,成本低,防御效果好。
为了达到上述目的,本发明采用了以下技术方案:
一种服务器的单层防御系统,其特征在于:包括客户端、第一节点、第二节点、隧道、服务器,
所述第一节点一端连接至所述第二节点,另一端与所述客户端连接,并作为所述客户端访问所述服务器的必经节点;
所述第二节点分别连接所述第一节点、服务器、隧道,所述第二节点用于实现内网与公网的转换;
所述隧道连接所述第二节点和服务器,所述隧道提供一个隧道服务。
进一步地,从所述第二节点至所述服务器进行内网转公网,从所述服务器至所述第二节点进行公网转内网。
进一步地,所述服务器至所述隧道执行一个双解析,所述双解析包括第一解析和第二解析,所述第一解析为用服务器真实的IP地址用A记录去解析;所述第二解析为以CNAME方式去解析所述隧道所生成的定义域名。
一种服务器的多层防御系统,其特征在于:包括依次连接的客户端、中间节点、服务器,其中所述中间节点数量为至少两个,与所述客户端直接连接的中间节点为所述客户端访问所述服务器的必经节点,每个所述中间节点之间相互连接,每个中间节点均连接至所述服务器。
进一步地,每个所述中间节点都具有独立的地址,每个所述中间节点之间通过端口映射相互连通。
进一步地,所述服务器对每个中间节点做记录,并关联到每个中间节点。
进一步地,每个所述中间节点为一个Web服务器。
本发明的有益效果包括:通过单层和多层防御系统,可以有效隐藏IP地址的信息,且在一定程度上防御部分DDoS流量攻击,防止路由追踪,成本低。
附图说明
图1是本发明中的单层防御系统结构示意图;
图2是本发明中双解析示意图;
图3是本发明中多层防御系统的结构示意图。
具体实施方式
下面结合具体实施例及附图来进一步详细说明本发明。
一种如图1所示的一种服务器的单层防御系统,其特征在于:包括客户端1、第一节点2、第二节点3、隧道4、服务器5。
所述第一节点2一端连接至所述第二节点3,另一端与所述客户端1连接,并作为所述客户端1访问所述服务器5的必经节点。
所述第二节点3分别连接所述第一节点2、服务器5、隧道4,所述第二节点3用于实现内网与公网的,外网服务映射到转换,进行IP端口映射。
所述隧道4连接所述第二节点3和服务器5,所述隧道4提供一个隧道服务。该隧道服务是由所述服务器5去创建的一个虚拟服务器,此虚拟服务器支持常用的协议,进一步的支持常用的端口。
从所述第二节点3至所述服务器5进行内网转公网,从所述服务器5至所述第二节点3进行公网转内网。由此既实现了外访内,也实现了内访外服务。
如图2所示,所述服务器5至所述隧道4执行一个双解析,所述双解析包括第一解析和第二解析,所述第一解析为用服务器真实的IP地址用A记录去解析,即以二级域名的方式去解析;所述第二解析为以CNAME方式去解析所述隧道4所生成的定义域名。这样就实现了防追踪,即当用户通过非常规手段去查某个服务器5的真实IP地址时,反馈回来的IP地址就会显示我们设置的隧道4的IP地址,这样的话,无论是查路由经过还是追踪,都很难追踪到服务器5的真实IP地址。
如图3所示的一种服务器的多层防御系统,其特征在于:包括依次连接的客户端1、中间节点、服务器5,其中所述中间节点数量为至少两个,本发明的实施例中中间节点为5个。与所述客户端1直接连接的中间节点即图3中的节点e为所述客户端1访问所述服务器5的必经节点。每个所述中间节点之间相互连接,每个中间节点均连接至所述服务器5,参照图3中所示的连接关系,其中节点a添加映射为节点e,节点b添加映射为节点e,节点c添加映射为节点e,节点c添加映射为节点a,节点e添加映射为节点a,节点d添加映射为节点a,以此类推,由此实现每个中间节点都相互串通,而且每个中间节点与多个中间节点都产生关联。
当客户端去访问或者对服务器发送东西时,所经过的中间节点,每个中间节点的地址都会不一样,相当于每个中间节点的网络映射IP以及端口到另外一个中间节点,而服务器却能访问每一个中间节点,也就是说,完全配置下来,关闭其中一个中间节点,实现通过追踪IP到关闭的中间节点的地方就会断掉。
所述服务器5对每个中间节点做记录,并关联到每个中间节点,另外,每一个中间节点都去关联了多个中间节点,在访问经过断掉的中间节点时会直接跳转到另外一个中间节点,这其中不提供路由服务,当使用路由追踪(tracert)去进行路由追踪时,会查不到经过的路由经过。
每个所述中间节点为一个Web服务器,比如:nginx服务、apache服务等。本发明的服务器单层和多层防护系统,目前主要应用于Linux-86x64主流系统,及Ubuntu发行版系统。
以上对本发明实施例所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;同时,对于本领域的一般技术人员,依据本发明实施例,在具体实施方式以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种服务器的单层防御系统,其特征在于:包括客户端(1)、第一节点(2)、第二节点(3)、隧道(4)、服务器(5),
所述第一节点(2)一端连接至所述第二节点(3),另一端与所述客户端(1)连接,并作为所述客户端(1)访问所述服务器(5)的必经节点;
所述第二节点(3)分别连接所述第一节点(2)、服务器(5)、隧道(4),所述第二节点(3)用于实现内网与公网的转换;
所述隧道(4)连接所述第二节点(3)和服务器(5),所述隧道(4)提供一个隧道服务。
2.根据权利要求1所述的一种服务器的单层防御系统,其特征在于:从所述第二节点(3)至所述服务器(5)进行内网转公网,从所述服务器(5)至所述第二节点(3)进行公网转内网。
3.根据权利要求1所述的一种服务器的单层防御系统,其特征在于:所述服务器(5)至所述隧道(4)执行一个双解析,所述双解析包括第一解析和第二解析,所述第一解析为用服务器真实的IP地址用A记录去解析;所述第二解析为以CNAME方式去解析所述隧道(4)所生成的定义域名。
4.一种服务器的多层防御系统,其特征在于:包括依次连接的客户端(1)、中间节点、服务器(5),其中所述中间节点数量为至少两个,与所述客户端(1)直接连接的中间节点为所述客户端(1)访问所述服务器(5)的必经节点,每个所述中间节点之间相互连接,每个中间节点均连接至所述服务器(5)。
5.根据权利要求4所述的一种服务器的多层防御系统,其特征在于:每个所述中间节点都具有独立的地址,每个所述中间节点之间通过端口映射相互连通。
6.根据权利要求4所述的一种服务器的多层防御系统,其特征在于:所述服务器(5)对每个中间节点做记录,并关联到每个中间节点。
7.根据权利要求4所述的一种服务器的多层防御系统,其特征在于:每个所述中间节点为一个Web服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910390629.4A CN110233827A (zh) | 2019-05-10 | 2019-05-10 | 一种服务器的单层和多层防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910390629.4A CN110233827A (zh) | 2019-05-10 | 2019-05-10 | 一种服务器的单层和多层防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110233827A true CN110233827A (zh) | 2019-09-13 |
Family
ID=67860490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910390629.4A Pending CN110233827A (zh) | 2019-05-10 | 2019-05-10 | 一种服务器的单层和多层防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110233827A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212470A (zh) * | 2006-12-30 | 2008-07-02 | 中国科学院计算技术研究所 | 一种能够抵御垃圾邮件的分布式邮件系统 |
CN102271084A (zh) * | 2011-07-13 | 2011-12-07 | 深圳市极限网络科技有限公司 | 定位网络主机通讯路径技术 |
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
US9369360B1 (en) * | 2014-05-12 | 2016-06-14 | Google Inc. | Systems and methods for fault detection in large scale networks |
CN106657014A (zh) * | 2016-11-16 | 2017-05-10 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
CN106716376A (zh) * | 2014-09-30 | 2017-05-24 | 第三雷沃通讯有限责任公司 | 从本地库提供针对网络连接的功能要求 |
CN107196961A (zh) * | 2017-06-28 | 2017-09-22 | 深圳市欧乐在线技术发展有限公司 | 一种ip地址隐藏方法及装置 |
CN108063772A (zh) * | 2018-01-18 | 2018-05-22 | 吉浦斯信息咨询(深圳)有限公司 | 一种基于服务侧的数据安全访问方法及系统 |
CN109639650A (zh) * | 2018-11-21 | 2019-04-16 | 中国电子科技集团公司第三十研究所 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
-
2019
- 2019-05-10 CN CN201910390629.4A patent/CN110233827A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212470A (zh) * | 2006-12-30 | 2008-07-02 | 中国科学院计算技术研究所 | 一种能够抵御垃圾邮件的分布式邮件系统 |
CN102271084A (zh) * | 2011-07-13 | 2011-12-07 | 深圳市极限网络科技有限公司 | 定位网络主机通讯路径技术 |
US9369360B1 (en) * | 2014-05-12 | 2016-06-14 | Google Inc. | Systems and methods for fault detection in large scale networks |
CN105471827A (zh) * | 2014-09-04 | 2016-04-06 | 华为技术有限公司 | 一种报文传输方法及装置 |
CN106716376A (zh) * | 2014-09-30 | 2017-05-24 | 第三雷沃通讯有限责任公司 | 从本地库提供针对网络连接的功能要求 |
CN106657014A (zh) * | 2016-11-16 | 2017-05-10 | 东软集团股份有限公司 | 访问数据的方法、装置及系统 |
CN107196961A (zh) * | 2017-06-28 | 2017-09-22 | 深圳市欧乐在线技术发展有限公司 | 一种ip地址隐藏方法及装置 |
CN108063772A (zh) * | 2018-01-18 | 2018-05-22 | 吉浦斯信息咨询(深圳)有限公司 | 一种基于服务侧的数据安全访问方法及系统 |
CN109639650A (zh) * | 2018-11-21 | 2019-04-16 | 中国电子科技集团公司第三十研究所 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10516590B2 (en) | External health checking of virtual private cloud network environments | |
Luo et al. | Preventing DDoS attacks by identifier/locator separation | |
Anderson | Splinternet Behind the Great Firewall of China: Once China opened its door to the world, it could not close it again. | |
US7809826B1 (en) | Remote aggregation of network traffic profiling data | |
US10440054B2 (en) | Customized information networks for deception and attack mitigation | |
Kotenko et al. | Agent‐based simulation of cooperative defence against botnets | |
Hu et al. | MNOS: a mimic network operating system for software defined networks | |
US8327017B1 (en) | Systems and methods for an autonomous intranet | |
Schomp et al. | Akamai dns: Providing authoritative answers to the world's queries | |
Mahjabin et al. | Load distributed and benign-bot mitigation methods for IoT DNS flood attacks | |
Carpenter | Advisory guidelines for 6to4 deployment | |
JP2014179993A (ja) | Dnsトップトーカのホワイトリスト化 | |
Dissanayake | DNS cache poisoning: A review on its technique and countermeasures | |
Bazli et al. | The dark side of I2P, a forensic analysis case study | |
Leberknight et al. | A taxonomy of censors and anti-censors part II: Anti-censorship technologies | |
Hu et al. | IDV: Internet Domain Name Verification Based on Blockchain. | |
CN110233827A (zh) | 一种服务器的单层和多层防御系统 | |
Chen et al. | Fault-tolerant control about integrity for descriptor systems | |
Naik et al. | Security attacks on information centric networking for healthcare system | |
CN109787939A (zh) | 一种云安全防御系统及其用户建立方法 | |
Wan et al. | Locator/identifier separation: comparison and analysis on the mitigation of worm propagation | |
Kumar et al. | Implementing geo-blocking and spoofing protection in multi-domain software defined interconnects | |
Prakash et al. | Achieving high accuracy in an attack-path reconstruction in marking on demand scheme | |
Alhomoud et al. | A next-generation approach to combating botnets | |
Nicol | Challenges in using simulation to explain global routing instabilities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190913 |
|
WD01 | Invention patent application deemed withdrawn after publication |