CN111935114A - 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 - Google Patents

一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 Download PDF

Info

Publication number
CN111935114A
CN111935114A CN202010747559.6A CN202010747559A CN111935114A CN 111935114 A CN111935114 A CN 111935114A CN 202010747559 A CN202010747559 A CN 202010747559A CN 111935114 A CN111935114 A CN 111935114A
Authority
CN
China
Prior art keywords
network
attack
control
information
syn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010747559.6A
Other languages
English (en)
Inventor
叶德望
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Dexun Network Security Technology Co ltd
Original Assignee
Zhejiang Dexun Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Dexun Network Security Technology Co ltd filed Critical Zhejiang Dexun Network Security Technology Co ltd
Priority to CN202010747559.6A priority Critical patent/CN111935114A/zh
Publication of CN111935114A publication Critical patent/CN111935114A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,属于网络安全技术领域,包括路由器,所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接,本发明提供了基于SYN攻击保护的反向追踪DDoS攻击防护方法,在分析攻击者建立远程控制网络机制的基础上,利用诱骗、跟踪攻击者,在获取远程控制网络的主要信息后,使远程控制机制失效,从而实现反向追踪DDoS攻击防护,反向追踪并主动攻击进行防御,从DDoS攻击体系的各部入手而不是只着眼于攻击体系末端的防御,因而能更加有效地从整体上抵御DDoS攻击。

Description

一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统
技术领域
本发明属于网络安全技术领域,具体涉及一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统。
背景技术
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
现有技术的存在以下问题:现有的基于SYN攻击保护的DDoS攻击方法存在保护效果差,无法进行反向追踪进行反击破坏,造成使用不便。
发明内容
为解决上述背景技术中提出的问题。本发明提供了一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,具有防护效果好,反击迅速的特点。
为实现上述目的,本发明提供如下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接。
在本发明中进一步的,所述诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
在本发明中进一步的,所述诱模拟网桥集成了数据控制、捕获和收集的功能。
在本发明中进一步的,所述诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
在本发明中进一步的,所述诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
在本发明中进一步的,所述诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
与现有技术相比,本发明的有益效果是:
本发明提供了基于SYN攻击保护的反向追踪DDoS攻击防护方法,在分析攻击者建立远程控制网络机制的基础上,利用诱骗、跟踪攻击者,在获取远程控制网络的主要信息后,使远程控制机制失效,从而实现反向追踪DDoS攻击防护,反向追踪并主动攻击进行防御,从DDoS攻击体系的各部入手而不是只着眼于攻击体系末端的防御,因而能更加有效地从整体上抵御DDoS攻击。
附图说明
图1为本发明的结构示意图;
图2为本发明的工作流程框图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供以下技术方案:一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,路由器与若干客户端连接,路由器与诱导模拟网桥连接,诱模拟网桥连接若干诱导模拟客户端,路由器与外部网络连接。
进一步的,诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
进一步的,诱模拟网桥集成了数据控制、捕获和收集的功能。
进一步的,诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
进一步的,诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
进一步的,诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
进一步的,所述的基于SYN攻击保护的反向追踪DDoS攻击防护方法如下:
①通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;
②渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;
③详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;
④切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
本发明的工作原理及使用流程:本发明使用时,通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;先进行渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;再详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;最后切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,包括路由器,其特征在于:所述的路由器与若干客户端连接,所述的路由器与诱导模拟网桥连接,所述诱模拟网桥连接若干诱导模拟客户端,所述路由器与外部网络连接。
2.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱导模拟客户端模拟真实的网络服务,其安全漏洞吸引攻击者入侵。
3.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥集成了数据控制、捕获和收集的功能。
4.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的数据控制用于控制所有可疑的输入和输出流量,限定攻击代理程序的活动范围。
5.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的数据捕获功能用于收集DDoS攻击网络的控制信息,获取与攻击代理程序建立连接的控制服务器的DNS名、IP地址或端口号,用于切断攻击控制网。
6.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述诱模拟网桥的收集功能集成入侵检测系统的功能,保护正常服务的安全,特定的捕获分析软件用于跟踪攻击者,获取攻击网络的控制机制等重要信息。
7.根据权利要求1所述的一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统,其特征在于:所述的基于SYN攻击保护的反向追踪DDoS攻击防护方法如下:
①通过路由器进行网络连接,SYN攻击利用路由器网络攻击用户客户端,诱模拟网桥进行数据控制、捕获和收集的工作;
②渗透远程控制网络:渗透的过程包括两个阶段:信息搜集和植入代理,信息搜集阶段主要完成控制网络信息的收集,当入侵程序攻占诱导模拟客户端后,必须通过IHC频道与控制服务器建立连接,此时通过监视入侵程序在诱模拟网桥中的活动,获取与控制服务器建立连接必需的信息:如控制服务器的DNS或IP地址及相应的端口号、昵称、身份信息、服务器的口令、频道名称和频道信息等内容,这是下一步植入代理程序所必需的,在第二阶段,根据所获信息,将诱导模拟客户端伪装成控制网络中的一个客户机,将代理程序伪装成控制网络成员的程序偷偷植入控制网络,以获取控制网络的更多信息;
③详细分析控制网络的控制信息:一旦代理程序在远程控制网络中成功潜伏,就可以继续去收集该网络的更多细节,监控攻击者在所建控制网络中的行为,包括:攻击者通过控制服务器向傀儡机发送的控制命令,命令中含攻击对象、发起攻击的时间、傀儡机的数量、攻击手段等信息;攻击工具软件、后门程序的自动下载;控制网络的内部通信流,通过分析捕获信息最终获知控制服务器的IP地址;
④切断远程控制网络:在获取控制服务器的IP地址后,对其定位并关闭该服务器以切断控制机与傀儡机的连接,使攻击者丧失对网络的控制权,可以有效地阻止DDoS攻击,如果控制服务器不使用固定的IP地址而是动态的DNS名,可通过改变DNS名使城名解析时对应的IP地址改变,令控制服务器与傀儡机无法建立连接,从而切断远程控制网络。
CN202010747559.6A 2020-07-29 2020-07-29 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统 Pending CN111935114A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010747559.6A CN111935114A (zh) 2020-07-29 2020-07-29 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010747559.6A CN111935114A (zh) 2020-07-29 2020-07-29 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统

Publications (1)

Publication Number Publication Date
CN111935114A true CN111935114A (zh) 2020-11-13

Family

ID=73315384

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010747559.6A Pending CN111935114A (zh) 2020-07-29 2020-07-29 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统

Country Status (1)

Country Link
CN (1) CN111935114A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262351A (zh) * 2008-05-13 2008-09-10 华中科技大学 一种网络追踪系统
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
US9350758B1 (en) * 2013-09-27 2016-05-24 Emc Corporation Distributed denial of service (DDoS) honeypots
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN110674496A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 程序对入侵终端进行反制的方法、系统以及计算机设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101262351A (zh) * 2008-05-13 2008-09-10 华中科技大学 一种网络追踪系统
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
US9350758B1 (en) * 2013-09-27 2016-05-24 Emc Corporation Distributed denial of service (DDoS) honeypots
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN110674496A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 程序对入侵终端进行反制的方法、系统以及计算机设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵保鹏: ""基于蜜罐技术的僵尸网络追踪"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Similar Documents

Publication Publication Date Title
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
CN112738128B (zh) 一种新型蜜罐组网方法及蜜罐系统
Freiling et al. Botnet tracking: Exploring a root-cause methodology to prevent distributed denial-of-service attacks
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
CN109617865A (zh) 一种基于移动边缘计算的网络安全监测与防御方法
CN103561004A (zh) 基于蜜网的协同式主动防御系统
CN111083117A (zh) 一种基于蜜罐的僵尸网络的追踪溯源系统
CN112578761A (zh) 一种工业控制蜜罐安全防护装置及方法
Li et al. The research and design of honeypot system applied in the LAN security
Kondra et al. Honeypot-based intrusion detection system: A performance analysis
Jeyanthi Internet of things (iot) as interconnection of threats (iot)
Goutam The problem of attribution in cyber security
CN110753014B (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
Wang et al. Distributed denial of service attack defence simulation based on honeynet technology
Sethi et al. A study on advancement in honeypot based network security model
CN112600822A (zh) 一种基于自动化引流工具的网络安全系统及方法
KR100518119B1 (ko) 네트워크 기반의 보안 솔루션 시스템
CN111935114A (zh) 一种基于SYN攻击保护的反向追踪DDoS攻击防护方法及系统
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
CN116781331A (zh) 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
Vokorokos et al. Sophisticated honeypot mechanism-the autonomous hybrid solution for enhancing computer system security
Paliwal Honeypot: A trap for attackers
Mudgal et al. Spark-Based Network Security Honeypot System: Detailed Performance Analysis
Sathwara et al. Distributed Denial of Service Attacks--TCP Syn Flooding Attack Mitigation.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201113