CN111935114A - 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 - Google Patents
一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 Download PDFInfo
- Publication number
- CN111935114A CN111935114A CN202010747559.6A CN202010747559A CN111935114A CN 111935114 A CN111935114 A CN 111935114A CN 202010747559 A CN202010747559 A CN 202010747559A CN 111935114 A CN111935114 A CN 111935114A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- control
- information
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000004088 simulation Methods 0.000 claims abstract description 36
- 230000007246 mechanism Effects 0.000 claims abstract description 7
- 230000001939 inductive effect Effects 0.000 claims description 11
- 230000000694 effects Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 3
- 238000013481 data capture Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000002513 implantation Methods 0.000 claims description 3
- 230000008595 infiltration Effects 0.000 claims description 3
- 238000001764 infiltration Methods 0.000 claims description 3
- 230000009545 invasion Effects 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000035515 penetration Effects 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 5
- 230000006698 induction Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003204 osmotic effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,属于网络安全技术领域,包括路由器,所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接,本发明提供了基于SYN攻击保护的反向追踪DDoS攻击防护方法,在分析攻击者建立远程控制网络机制的基础上,利用诱骗、跟踪攻击者,在获取远程控制网络的主要信息后,使远程控制机制失效,从而实现反向追踪DDoS攻击防护,反向追踪并主动攻击进行防御,从DDoS攻击体系的各部入手而不是只着眼于攻击体系末端的防御,因而能更加有效地从整体上抵御DDoS攻击。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统。
背景技术
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
现有技术的存在以下问题:现有的基于SYN攻击保护的DDoS攻击方法存在保护效果差,无法进行反向追踪进行反击破坏,造成使用不便。
发明内容
为解决上述背景技术中提出的问题。本发明提供了一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,具有防护效果好,反击迅速的特点。
为实现上述目的,本发明提供如下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接。
在本发明中进一步的,所述诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
在本发明中进一步的,所述诱模拟网桥集成了数据控制、捕获和收集的功能。
在本发明中进一步的,所述诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
在本发明中进一步的,所述诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
在本发明中进一步的,所述诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
与现有技术相比,本发明的有益效果是:
本发明提供了基于SYN攻击保护的反向追踪DDoS攻击防护方法,在分析攻击者建立远程控制网络机制的基础上,利用诱骗、跟踪攻击者,在获取远程控制网络的主要信息后,使远程控制机制失效,从而实现反向追踪DDoS攻击防护,反向追踪并主动攻击进行防御,从DDoS攻击体系的各部入手而不是只着眼于攻击体系末端的防御,因而能更加有效地从整体上抵御DDoS攻击。
附图说明
图1为本发明的结构示意图;
图2为本发明的工作流程框图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供以下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,路由器与若干客户端连接,路由器与诱导模拟网桥连接,诱模拟网桥连接若干诱导模拟客户端,路由器与外部网络连接。
进一步的,诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
进一步的,诱模拟网桥集成了数据控制、捕获和收集的功能。
进一步的,诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
进一步的,诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
进一步的,诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
进一步的,所述的基于SYN攻击保护的反向追踪DDoS攻击防护方法如下:
①通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;
②渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;
③详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;
④切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
本发明的工作原理及使用流程:本发明使用时,通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;先进行渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;再详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;最后切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (7)
1.一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,其特征在于:所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接。
2.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
3.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥集成了数据控制、捕获和收集的功能。
4.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
5.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
6.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
7.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述的基于SYN攻击保护的反向追踪DDoS攻击防护方法如下:
①通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;
②渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;
③详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;
④切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010747559.6A CN111935114A (zh) | 2020-07-29 | 2020-07-29 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010747559.6A CN111935114A (zh) | 2020-07-29 | 2020-07-29 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111935114A true CN111935114A (zh) | 2020-11-13 |
Family
ID=73315384
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010747559.6A Pending CN111935114A (zh) | 2020-07-29 | 2020-07-29 | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111935114A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
CN110674496A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 程序对入侵终端进行反制的方法、系统以及计算机设备 |
-
2020
- 2020-07-29 CN CN202010747559.6A patent/CN111935114A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
CN110674496A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 程序对入侵终端进行反制的方法、系统以及计算机设备 |
Non-Patent Citations (1)
Title |
---|
赵保鹏: ""基于蜜罐技术的僵尸网络追踪"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐系统 | |
Freiling et al. | Botnet tracking: Exploring a root-cause methodology to prevent distributed denial-of-service attacks | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
CN109617865A (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN111083117A (zh) | 一种基于蜜罐的僵尸网络的追踪溯源系统 | |
CN112578761A (zh) | 一种工业控制蜜罐安全防护装置及方法 | |
Li et al. | The research and design of honeypot system applied in the LAN security | |
Kondra et al. | Honeypot-based intrusion detection system: A performance analysis | |
Jeyanthi | Internet of things (iot) as interconnection of threats (iot) | |
Goutam | The problem of attribution in cyber security | |
CN110753014B (zh) | 基于流量转发的威胁感知方法、设备、装置及存储介质 | |
Wang et al. | Distributed denial of service attack defence simulation based on honeynet technology | |
Sethi et al. | A study on advancement in honeypot based network security model | |
CN112600822A (zh) | 一种基于自动化引流工具的网络安全系统及方法 | |
KR100518119B1 (ko) | 네트워크 기반의 보안 솔루션 시스템 | |
CN111935114A (zh) | 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 | |
Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
Vokorokos et al. | Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security | |
Paliwal | Honeypot: A trap for attackers | |
Mudgal et al. | Spark-Based Network Security Honeypot System: Detailed Performance Analysis | |
Sathwara et al. | Distributed Denial of Service Attacks--TCP Syn Flooding Attack Mitigation. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201113 |