CN112565318A - 一种服务器安全防御方法及系统、通信设备、存储介质 - Google Patents
一种服务器安全防御方法及系统、通信设备、存储介质 Download PDFInfo
- Publication number
- CN112565318A CN112565318A CN201910913485.6A CN201910913485A CN112565318A CN 112565318 A CN112565318 A CN 112565318A CN 201910913485 A CN201910913485 A CN 201910913485A CN 112565318 A CN112565318 A CN 112565318A
- Authority
- CN
- China
- Prior art keywords
- identification
- server
- service
- client
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000007123 defense Effects 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 title claims abstract description 23
- 238000013507 mapping Methods 0.000 claims abstract description 67
- 230000004044 response Effects 0.000 claims abstract description 54
- 230000006870 function Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 8
- 238000007726 management method Methods 0.000 description 83
- 238000006243 chemical reaction Methods 0.000 description 31
- 239000000284 extract Substances 0.000 description 12
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Abstract
本发明实施例提供一种服务器安全防御方法及系统、通信设备、存储介质,客户端向域名服务器发送域名解析请求,域名服务器将请求信息中的服务器域名解析为标识管理服务器IP地址返回客户端;客户端向标识管理服务器发送业务请求,其包括业务标识,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,并建立映射关系,标识管理服务器向客户端返回重定向响应;客户端向标识网关发送业务请求,标识网关根据映射关系将业务请求信息进行转换并发送给业务服务器,并将收到的业务服务器的响应信息转换后发送给客户端。在某些实施过程中对服务器的通信参数进行随机动态变换,对目标服务器进行主动防护,提高安全性。
Description
技术领域
本发明实施例涉及但不限于安全技术领域,具体而言,涉及但不限于一种服务器安全防御方法及系统、通信设备、存储介质。
背景技术
移动目标防御(Moving Target Defense,简称MTD)是一种新型的网络安全防护思想,通过技术手段,对被保护目标呈现给攻击者的攻击面实施持续性的动态变换,以迷惑攻击者,从而增加攻击者实施成功攻击的代价和复杂度,降低其攻击成功的概率,提高系统弹性和安全性。
在互联网业务中,为了保证服务器业务的可达性,服务器的IP地址以及提供服务的端口必须保持稳定,并对所有访问的终端是开放的,这样会导致服务器容易受到攻击。因此,如何有效地对服务器进安全防御成为了亟待解决的问题。
发明内容
本发明实施例提供的一种服务器安全防御方法及系统、通信设备、存储;介质,主要解决的技术问题是:互联网中,服务器的IP地址以及服务端口对所有访问的终端开放,导致服务器容易受到攻击的问题。
为解决上述技术问题,本发明实施例提供一种服务器安全防御方法,包括:
客户端向域名服务器发送域名解析请求,域名服务器将所述请求信息中的服务器域名解析为标识管理服务器IP地址,并将所述IP地址返回客户端;
客户端向标识管理服务器发送业务请求,所述业务请求包括业务标识,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,同时建立映射关系,标识管理服务器向客户端返回重定向响应;
客户端向标识网关发送业务请求,标识网关根据所述映射关系将所述业务请求信息进行转换并发送给业务服务器,并将收到的业务服务器的响应信息转换后发送给客户端。
本发明实施例还提供一种服务器安全防御系统,包括:
客户端,用于支持域名解析客户端功能和业务访问功能,使用业务标识发起业务请求,还用于支持业务重定向功能,即根据业务服务器返回的重定向响应访问指定的网络资源;
域名服务器,用于将业务服务器的域名解析为标识管理服务器的IP地址;并根据预设的策略从多个标识管理服务器中选择一个或多个标识管理服务器的IP地址;
标识管理服务器,用于接收客户端发送的业务请求,根据预设的策略选择标识网关,向标识网关请求动态标识,生成重定向业务标识,向客户端返回重定向响应;
标识网关,用于根据标识管理服务器的请求生成动态标识,建立客户端IP地址、动态标识、业务服务器标识之间的映射关系,并根据映射关系转发来自客户端的业务请求和发往客户端的响应;
业务服务器,用于提供业务服务。
本发明实施例还提供一种通信设备,包括:处理器、存储器及通信总线;
其中,通信总线用于实现处理器和存储器之间的连接通信;
其中,处理器用于执行存储器中存储的一个或多个计算机程序,以实现如上所述的服务器安全防御方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的服务器安全防御方法的步骤。
本发明的有益效果是:
根据本发明实施例提供的服务器安全防御方法及系统、通信设备及计算机可读存储介质,客户端向域名服务器发送域名解析请求,域名服务器将所述请求信息中的服务器域名解析为标识管理服务器IP地址,并将所述IP地址返回客户端;客户端向标识管理服务器发送业务请求,所述业务请求包括业务标识,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,同时建立映射关系,标识管理服务器向客户端返回重定向响应;客户端向标识网关发送业务请求,标识网关根据所述映射关系将所述业务请求信息进行转换并发送给业务服务器,并将收到的业务服务器的响应信息转换后发送给客户端,通过增加标识管理服务器和标识网关,在保证服务器正常业务的情况,通过随机改变服务器对客户端服务的通讯参数,增加针对服务器的攻击难度,从而提升服务器的安全性和服务可用性,提升了用户体验度。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一提供的一种服务器安全防御系统结构示意图;
图2为本发明实施例一提供的一种服务器安全防御方法流程图;
图3为本发明实施例二提供的一种服务器安全防御方法流程图;
图4为本发明实施例三提供的一种服务器安全防御方法流程图;
图5为本发明实施例四提供的一种服务安全防御系统结构示意图;
图6为本发明实施例四提供的一种服务器安全防御方法流程图;
图7为本发明实施例五提供的一种通信设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
为了解决互联网中,服务器的IP地址以及服务端口对所有访问的终端开放,导致服务器容易受到攻击的问题,本发明实施例提供一种服务器安全防御方法,用于服务器安全防御网络系统中。
请参见图1,图1为本发明实施例提供的一种服务器安全防御系统。本发明实施例中,服务器安全防御网络系统中包括:客户端101、域名服务器102、标识管理服务器103、标识网关104、业务服务器105。其中标识网关104位于客户端101和业务服务器105之间,即将客户端101和业务服务器105分为不同的安全区域,其中业务服务器105位于高安全区,标识网关104为业务服务器105提供安全防护,防止来自与客户端的攻击行为。
其中,客户端101用于支持域名解析客户端功能和业务访问功能,使用业务标识发起业务请求,还用于支持业务重定向功能,即根据业务服务器返回的重定向响应访问指定的网络资源;域名服务器102用于将业务服务器105的域名解析为标识管理服务器103的IP地址;并根据预设的策略从多个标识管理服务器中选择一个或多个标识管理服务器的IP地址;标识管理服务器103用于接收客户端101发送的业务请求,根据预设的策略选择标识网关,向标识网关请求动态标识,生成重定向业务标识,向客户端返回重定向响应;标识网关104,用于根据标识管理服务器103的请求生成动态标识,建立客户端IP地址、动态标识、业务服务器标识之间的映射关系,并根据映射关系转发来自客户端的业务请求和发往客户端的响应;业务服务器105,用于提供业务服务。
本发明实施例提供的服务器安全防御方法,请参见图2,包括以下步骤:
S201:客户端向域名服务器发送域名解析请求,域名服务器将业务服务器域名解析为标识管理服务器IP地址,并返回给客户端。
步骤S201中,客户端向域名服务器发送域名解析请求,域名服务器将请求信息中的业务服务器的域名解析为标识管理服务器的IP地址,并将所述经域名服务器解析得到的标识管理服务器的IP地址返回给客户端。其中,所述标识管理服务器可包括一个或多个标识管理服务器,域名服务器接收到来自客户端发送的域名解析请求之后,根据预设的策略从多个标识管路服务器中选择至少一个标识管理服务器的IP地址发送给客户端。
本发明实施例中,所述策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识管理服务器;或,轮询各标识管理服务器;或,选择负荷较轻的标识管理服务器。
S202:客户端向标识管理服务器发送业务请求,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,同时建立映射关系,标识管理服务器向客户端返回重定向响应。
其中,所述标识管理服务器向标识网关发送动态标识请求时,将客户端的IP地址、业务服务器标识发送给选择的所述标识网关。标识网关接收到所述动态标识请求之后,进行动态标识的分配,并建立客户端IP与动态标识之间的映射关系,或建立客户端IP、动态标识、业务服务器标识之间的映射关系;所述动态标识为标识网关地址和端口,或标识网关域名和端口;所述业务服务器标识为业务服务器的IP地址和端口,或业务服务器域名和端口。标识管理服务器根据业务请求中的业务标识和所述动态标识,将业务标识中的主机标识替换为动态标识,或在其中插入动态标识,生成重定向业务标识,重定向响应中的重定向业务标识信息,指示客户端向标识网关发送业务请求;其中,所述主机标识包括:客户端的IP地址,或,客户端IP地址和客户端的端口。
S203:客户端向标识网关发送业务请求,标识网关根据映射关系将业务请求信息进行转换并发送给业务服务器,并将接收到的业务服务器的响应信息转换后发送给客户端。
在本发明实施例中,标识网关接收到所述业务请求之后,根据请求消息中的源IP、目的IP与目的端口查找映射关系,若查找到对应的映射关系,则将所述业务请求转换后发送给业务服务器,否则,拒绝访问,或引导到预定系统;其中,所述将所述业务请求转换包括:标识网关将业务请求的目的IP和端口,即动态标识,替换为映射关系中业务服务器标识对应的IP和端口,将响应的源IP和端口,即业务服务器标识,替换为动态标识对应的IP和端口;所述将所述业务请求转换还包括:标识网关将业务请求中的业务标识的动态标识替换为业务服务器标识。
本发明实施例提供的一种服务器安全防御方法,客户端向域名服务器发送域名解析请求,域名服务器将所述请求信息中的服务器域名解析为标识管理服务器IP地址,并将所述IP地址返回客户端;客户端向标识管理服务器发送业务请求,所述业务请求包括业务标识,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,同时建立映射关系,标识管理服务器向客户端返回重定向响应;客户端向标识网关发送业务请求,标识网关根据所述映射关系将所述业务请求信息进行转换并发送给业务服务器,并将收到的业务服务器的响应信息转换后发送给客户端,通过增加标识管理服务器和标识网关,在保证服务器正常业务的情况,通过随机改变服务器对客户端服务的通讯参数,增加针对服务器的攻击难度,从而提升服务器的安全性和服务可用性,提升了用户体验度。
实施例二:
为了解决互联网中,服务器的IP地址以及服务端口对所有访问的终端开放,导致服务器容易受到攻击的问题,图3所示为本发明实施例提供一种服务器安全防御方法,包括以下步骤:
在此先说明业务标识的概念,业务标识表示用户要访问的互联网业务资源,一般使用统一资源定位符描述,由服务器标识和内容标识组成,如:www.example.com:80/news/top.xml,其中“www.example.com:80”为服务器标识,具体包括服务器域名(www.example.com)端口(80),其中服务器域名也可以采用服务器的IP地址标识,如果采用默认端口,可以省略端口;“/news/top.xml/”表明该业务服务提供的具体内容,组合起来唯一表示用户要访问的业务。客户端要访问该业务,首先要执行DNS解析过程,获取服务器域名(www.example.com)对应的IP地址,再根据IP地址访问服务器,获取业务标识指定的服务。
本发明实施例中,提供一种服务器安全防御方法,客户端使用业务标识进行业务访问,包括以下步骤:
S301:客户端向域名服务器发送域名解析请求;
S302:域名服务器进行域名解析,返回域名查询响应;
其中,域名服务器向客户端返回的响应信息中包括至少一个标识管理服务器的IP地址。本发明实施例中,在域名服务器中,服务器域名配置的IP地址不是服务器的真实地址,而是标识管理服务器的IP地址,如果网络中有多台标识管理服务器,可以针对配置多个标识管理服务器的IP地址,域名服务器根据预设的策略从个多个标识管理服务器中选择至少一个标识管理服务器的IP地址返回给客户端;本发明实施例中,具体的策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识管理服务器;或,轮询各标识管理服务器;或,选择负荷较轻的标识管理服务器。
S303:客户端根据域名解析的结果,向标识管理服务器发送业务请求;
所述的业务请求中包括业务标识,在该请求消息中,目的IP为步骤302中解析得到的标识管理服务器的IP地址,目的端口为该业务应用的的默认端口或指定的端口,在所述请求消息中包括完整的业务标识。
S304:标识管理服务器提取客户端IP地址和服务器标识,选择标识网关,向标识网关发送动态标识请求;
其中,客户端IP地址,从业务请求IP包的源IP地址头部中提取,服务器标识从业务标识中提取。所述选择标识网关,标识管理服务器根据预设的策略从多个标识网关中选择至少一个标识网关,具体的策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识网关;或,轮询各标识网关;或,选择负荷较轻的标识网关。
S305:标识网关从动态标识池中选取动态标识,建立客户端IP、动态标识、服务器标识之间的映射关系,返回动态标识查询响应及选取的动态标识;
其中,动态标识池由标识网关管理的一个IP地址+端口号,以及协议类型构成;
或,
动态标识池由标识管理的IP地址,或IP地址段,加上每个IP地址所属的端口范围和协议类型构成。
上述IP地址或IP地址段的IP地址,能够保证以这些地址为目的地址的IP数据包,能够被其他网络设备路由转发到正确的标识网关。
本发明实施中,其动态标识选取的具体规则为:选取动态标识池中没有被所有客户端使用的,或者,选取没有被该用户客户端所使用的,即可以通过客户端IP和动态标识唯一地确定映射关系。
比如,一个标识网关管理10.10.10.1-10.10.10.10地址段,每个IP地址端口范围为0-65535,为了安全起见,一般选取常用公知的端口以外的范围,如1023-65535。通过上述IP段中的IP地址加上每个IP地址6万多个端口,构成足够大的动态标识池,从而能够保证动态标识分配的随机性。
如果某个客户端,如20.20.20.20,需要访问业务,可以从上述地址池中选取没有使用的动态网络标识,如10.10.10.10:5000没有使用,就可以分配给该客户端,或者被其他客户端使用了,也可以分配客户端,只要保证通过(20.20.20.20,10.10.10.10:5000)能够唯一确定(20.20.20.20,10.10.10.10:5000,example.com:80)映射关系即可。因为动态网络标识数量足够多,因此可优先选取前面的分配方式,即没有被所有用户客户端使用的动态标识,实现相对简单,且随机性高。
S306:标识管理服务器生成重定向业务标识,并向客户端返回重定向响应;
本发明实施例中,所述生成重定向业务标识的生成方式包括:将上述步骤304中请求消息中包括的业务标识中的业务服务器标识替换为动态标识,例如:将业务标识“www.example.com:80/news/top.xml”服务器标识“www.example.com:80”替换为动态标识“10.10.10.10:5000”,生成重定向业务标识“10.10.10.10:5000/news/top.xml”。
S307:客户端根据重定向业务标识,向标识网关发送业务请求;
其中,所述业务请求中包括重定向业务标识。此时,所述业务请求中IP包中目的IP和端口分别对应动态标识中的IP地址和端口。
S308:标识网关提取客户端IP和动态标识,查找映射关系,执行转换操作,若没有查找到映射关系,则拒绝业务请求,或将业务请求引导到预定系统;
标识网关提取客户端IP和动态标识,查找映射关系,根据映射关系执行转换操作,如果没有查到映射关系,则认为这是非法访问,则拒绝业务请求,或者将业务请求引导到预定系统,如蜜罐系统,对非法访问进一步进行定位。
本发明实施例中,其中,具体的转换操作包括:
操作一:根据映射关系中服务器标识中服务器域名,解析服务器的IP地址;具体解析过程可以通过标识网关本地保存或缓存的DNS数据,或者向域名服务器请求解析结果,如将“www.example.com”解析为“30.30.30.30”;
操作二:将业务请求IP包的目的IP地址和端口中携带的动态标识替换为服务器的IP地址和端口,例如将10.10.10.10:5000转换为30.30.30.30:80;
操作三:将业务请求中的主机标识或重定向业务标识还原为业务标识,还原方法是将主机标识中的标识网关标识还原为业务服务器标识,例如将“10.10.10.10:5000”还原为“www.example.com:80”;或,将重定向业务标识中的标识网关标识还原为业务服务器标识,例如将“10.10.10.10:5000/news/top.xml”还原为“www.example.com:80/news/top.xml”。
在本发明实施例的另一示例中,标识网关可以在步骤S308中将服务器域名解析为服务器的IP地址,具体解析过程可以通过标识网关本地保存或缓存的DNS数据,或者向域名服务器请求解析结果,并将映射关系中的主机域名替换为解析结果,如example.com对应的IP地址为30.30.30.30,则映射关系表示为(20.20.20.20,10.10.10.10:5000,30.30.30.30:80)。
在本发明实施例的另一示例中,可以在映射关系中同时保存两种服务器标识,如(20.20.20.20,10.10.10.10:5000,www.example.com:80,30.30.30.30:80),在操作一中使用30.30.30.30:80,在操作三中使用www.example.com:80,提高效率。
具体实现时,可以进一步建立转换表,其中包含客户端IP+端口、动态标识、包含服务器IP的服务器标识,其中客户端端口是客户端在建立与服务器连接时选择的本地端口,如客户端选择端口为1000,则建立如下转发关系表(20.20.20.20:1000,10.10.10.10:5000,30.30.30.30:80),或建立如下包括主机域名形式的服务器标识的转发关系(20.20.20.20:1000,10.10.10.10:5000,30.30.30.30:80,www.example.com:80)。
标识网关收到业务请求后,优先查找转换表,如果查找到,则按转换表进行转换,否则查找映射关系,如果查找到,则建立转换表。
按照这种方法实现,客户端可能会选择多个端口与服务器建立连接,进行不同的业务请求,标识网关建立相应多个转换关系,对应同一个映射关系,便于进行管理。
在操作一的步骤中,为了安全起见,所述域名服务器与前面所述的域名服务器不同,保存服务器域名与服务器IP地址之间的关系,位于安全域中,专门为标识网关服务,而客户端无法访问,从而保证了该域名服务器的安全性。
S309:业务服务器返回业务响应;
其中,业务响应信息中的目的地址和端口为客户端IP地址和端口,源地址和端口为服务器IP地址和端口。
S310:标识网关执行转换操作,根据映射关系或转换关系,将源地址和端口中的服务器IP地址和端口替换为动态标识的IP地址和端口,然后发送给客户端。
在上述转换过程中,若没有检查到响应对应的映射关系或转换关系,则拒绝访问,或者将业务请求引导到预定系统。
根据业务的不同,后续可能有多次业务请求和响应的交互,将重复步骤S303-S310的过程。
本发明实施例提供的一种服务器安全防御方法,客户端向域名服务器发送域名解析请求,客户端根据域名解析的结果,向标识管理服务器发送业务请求,标识管理服务器提取客户端IP地址和服务器标识,选择标识网关,向标识网关发送动态标识请求,标识网关从动态标识池中选取动态标识,建立客户端IP、动态标识、服务器标识之间的映射关系,返回动态标识查询响应及选取的动态标识,标识管理服务器生成重定向业务标识,并向客户端返回重定向响应,客户端根据重定向业务标识,向标识网关发送业务请求,标识网关提取客户端IP和动态标识,查找映射关系,执行转换操作,若没有查找到映射关系,则拒绝业务请求,或将业务请求引导到预定系统。通过随机动态变化客户端访问的服务入口,且每个入口只能被指定的客户端访问,从而提高了黑客攻击服务器的难度,提升了服务器的安全性。
实施例三:
图4所示为本发明提供的一种服务器安全防御方法流程图,客户端使用业务标识进行业务访问,包括以下步骤:
S401:客户端向域名服务器发送域名解析请求;
S402:域名服务器进行域名解析,返回域名查询响应;
其中,域名服务器向客户端返回的响应信息中包括至少一个标识管理服务器的IP地址。本发明实施例中,在域名服务器中,服务器域名配置的IP地址不是服务器的真实地址,而是标识管理服务器的IP地址,如果网络中有多台标识管理服务器,可以针对配置多个标识管理服务器的IP地址,域名服务器根据预设的策略从个多个标识管理服务器中选择至少一个标识管理服务器的IP地址返回给客户端;本发明实施例中,具体的策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识管理服务器;或,轮询各标识管理服务器;或,选择负荷较轻的标识管理服务器。
S403:客户端根据域名解析的结果,向标识管理服务器发送业务请求;
所述的业务请求中包括业务标识,在该请求消息中,目的IP为步骤302中解析得到的标识管理服务器的IP地址,目的端口为该业务应用的的默认端口或指定的端口,在所述请求消息中包括完整的业务标识。
S404:标识管理服务器提取客户端IP地址和服务器标识,选择标识网关,向标识网关发送动态标识请求;
其中,客户端IP地址,从业务请求IP包的源IP地址头部中提取,服务器标识从业务标识中提取。所述选择标识网关,标识管理服务器根据预设的策略从多个标识网关中选择至少一个标识网关,具体的策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识网关;或,轮询各标识网关;或,选择负荷较轻的标识网关。
S405:标识网关从动态标识池中选取动态标识,建立客户端IP与动态标识之间的映射关系,同时获取对应的标识网关域名,返回动态标识查询响应及选取的动态标识;
其中,动态标识池由标识网关管理的一个IP地址+端口号,以及协议类型构成;
或,
动态标识池由标识管理的IP地址,或IP地址段,加上每个IP地址所属的端口范围和协议类型构成。
上述IP地址或IP地址段的IP地址,能够保证以这些地址为目的地址的IP数据包,能够被其他网络设备路由转发到正确的标识网关。
同时需要为标识网关管理的IP地址配置对应域名,且在域名服务器中配置标识网关的域名与所管理的动态标识池IP地址之间的解析关系,在一台标识网关管理多个IP的情况下,需要为每个IP地址都配置有域名,如标识网关管理了10个IP地址10.10.10.1-10.10.10.10,对应的域名为idg1,idg2,....,idg10。
本发明实施中,其动态标识选取的具体规则为:选取动态标识池中没有被所有客户端使用的,或者,选取没有被该用户客户端所使用的,即可以通过客户端IP和动态标识唯一地确定映射关系。
本发明实施例中,在选取动态标识建立映射关系时,同时获取对应的标识网关的域名,如选取IP地址为10.10.10.10,则同时获取域名idg10;
本示例中,建立客户端与动态标识之间的映射关系即可,其中不包括服务器域名,比如(20.20.20.20,10.10.10.10:5000)。标识网关返回动态标识查询响应。
其中,所述动态标识查询响应中包括步骤S305选取的包含标识网关域名的动态标识,例如:idg10:5000。
S406:标识管理服务器根据业务标识和动态标识,生成重定向业务标识,向客户端返回重定向响应;
具体的生成方式包括:将业务服务器域名作为标识网关的次级域名,构造出新的域名,具体格式为“服务器域名”+“.”+“标识网关域名”,如www.example.com.idg10,此时重定向业务标识为“www.example.com.idg10:5000/news/top.xml”。
S407:客户端向域名服务器发送域名解析请求;
其中,所述请求中包括:从重定向业务标识中提取的主机域名,比如:“www.example.com.idg10”。
S408:域名服务器进行域名解析,返回域名解析响应;
其中,所述域名解析响应中包括域名对应的标识网关IP地址,在示例中,域名服务器将“www.example.com.idg10”解析为10.10.10.10,和标识网关生成的动态IP保持一致。
S409:客户端根据域名解析结果向标识网关发送业务请求;
其中,所述请求中包括重定向业务标识;此时,业务请求中目的IP和端口分别对应动态标识中包含的标识网关IP地址和端口。
S410:标识网关提取客户端IP地址和动态标识,查找映射关系,根据转换操作;
标识网关提取客户端IP和动态标识,查找映射关系,根据映射关系执行转换操作,如果没有查到映射关系,则认为这是非法访问,则拒绝业务请求,或者将业务请求引导到预定系统,如蜜罐系统,对非法访问进一步进行定位。
本发明实施例中,其中,具体的转换操作包括:
操作一:根据映射关系中服务器标识中服务器域名,解析服务器的IP地址;具体解析过程可以通过标识网关本地保存或缓存的DNS数据,或者向域名服务器请求解析结果,如将“www.example.com”解析为“30.30.30.30”;
操作二:将业务请求IP包的目的IP地址和端口中携带的动态标识替换为服务器的IP地址和端口,例如将10.10.10.10:5000转换为30.30.30.30:80;
操作三:将业务请求中的重定向业务标识还原为业务标识,还原方法是将重定向业务标识中的标识网关标识还原为业务服务器标识,例如将“www.example.com.idg10”还原为“www.example.com”。
S411:业务服务器返回业务响应;
其中,业务响应信息中的目的地址和端口为客户端IP地址和端口,源地址和端口为服务器IP地址和端口。
S412:标识网关执行转换操作,根据映射关系或转换关系,将源地址和端口中的服务器IP地址和端口替换为动态标识的IP地址和端口,然后发送给客户端。
本发明实施例提供的一种服务器安全防御方法,通过随机动态变化客户端访问的服务入口,且每个入口只能被指定的客户端访问,从而提高了黑客攻击服务器的难度,提升了服务器的安全性。
实施例四:
图6所示为本发明实施例提供的一种服务器安全防御方法流程图,用于一种服务器安全防御系统,请参见图5,包括客户端501,域名服务器502,标识综合网关503,业务服务器504;其中标识综合网关503包括标识管理功能5031,标识网关功能5032。如图6所示,该方法流程包括如下步骤:
S601:客户端向域名服务器发送域名查询请求;
S602:域名服务器进行域名解析,返回域名查询响应;
其中,所述响应包括一个或多个综合网关的IP地址,可在网络中部署多台综合网关,每台综合网关可以配置多个IP地址加上每个IP地址所属的端口范围,构成动态标识池。
本实施例中,域名服务器中服务器域名配置的IP地址是标识综合网关的IP地址,可以根据标识综合网关数量以及标识综合网关所管理的IP地址,配置1个或多个IP地址;具体的策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识网关;或,轮询各标识网关;或,选择负荷较轻的标识网关。
S603:客户端根据域名解析的结果,向标识综合网关发送业务请求,其包括业务标识;
S604:综合标识网关中的标识管理功能提取客户端标识以及业务服务器标识,通过内部消息向标识网关功能请求动态标识;
其中,所述请求中包括IP包的目的IP,即客户端从域名解析结果中选取的标识综合网关的IP地址。
S605:标识网关功能与从动态标识池中选取动态标识,建立客户端IP、动态标识、服务器标识之间的映射关系,并将动态标识或动态标识的端口部分返回给标识管理服务器;
S606:标识管理功能将业务标识中的服务器标识中的端口替换为动态标识中的端口,生成重定向业务标识,并向客户端返回重定向响应;
如步骤S505选择了端口5000,则标识网关根据业务标识“www.example.com:80/news/top.xml”生成重定向业务标识“www.example.com:5000/news/top.xml”。
S607:客户端根据重定向业务标识,向标识综合网关发送业务请求;
其中,所述业务请求中包括重定向业务标识。
S608:标识网关功能提取客户端IP和动态标识,查找映射关系,根据映射关系执行转换操作,若没有查到映射关系,则拒绝访问,或将业务请求引导到预定系统;
其中,完成了目的IP地址和端口的转换之后,将业务标识中的端口进行还原即可,例如将“www.example.com:5000”还原为“www.example.com:80”。
S609:业务服务器返回业务响应;
其中,业务响应信息中的目的地址和端口为客户端IP地址和端口,源地址和端口为服务器IP地址和端口。
S610:标识网关功能执行转换操作,根据映射关系或转换关系,将源地址和端口中的服务器IP地址和端口替换为动态标识的IP地址和端口,然后发送给客户端。
在上述转换过程中,若没有检查到响应对应的映射关系或转换关系,则拒绝访问,或者将业务请求引导到预定系统。
本发明实施例提供的一种服务器安全防御方法,客户端向域名服务器发送域名查询请求,域名服务器进行域名解析,返回域名查询响应,客户端根据域名解析的结果,向标识综合网关发送业务请求,其包括业务标识,综合标识网关中的标识管理功能提取客户端标识以及业务服务器标识,通过内部消息向标识网关功能请求动态标识,标识网关功能与从动态标识池中选取动态标识,建立客户端IP、动态标识、服务器标识之间的映射关系,并将动态标识或动态标识的端口部分返回给标识管理服务器,标识管理功能将业务标识中的服务器标识中的端口替换为动态标识中的端口,生成重定向业务标识,并向客户端返回重定向响应,客户端根据重定向业务标识,向标识综合网关发送业务请求;标识网关提取客户端IP和动态标识,查找映射关系,根据映射关系执行转换操作,若没有查到映射关系,则拒绝访问,或将业务请求引导到预定系统,业务服务器返回业务响应。通过随机动态变化客户端访问的服务入口,且每个入口只能被指定的客户端访问,从而提高了黑客攻击服务器的难度,提升了服务器的安全性。
实施例五:
本实施例还提供了一种通信设备,参见图7所示,其包括处理器71、存储器72及通信总线73,其中:
通信总线73用于实现处理器71和存储器72之间的连接通信;
处理器71用于执行存储器72中存储的一个或者多个计算机程序,以实现上述实施例一和实施例五中的服务器安全防御方法中的至少一个步骤。
本实施例还提供了一种计算机可读存储介质,该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically Erasable Programmable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
本实施例中的计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现上述实施例一和实施例五中的服务器安全防御方法的至少一个步骤。
可见,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (14)
1.一种服务器安全防御方法,包括:
客户端向域名服务器发送域名解析请求,域名服务器将所述请求信息中的业务服务器域名解析为标识管理服务器IP地址,并将所述IP地址返回客户端;
客户端向标识管理服务器发送业务请求,所述业务请求包括业务标识,标识管理服务器向标识网关请求动态标识,标识网关分配动态标识信息返回给标识管理服务器,同时建立映射关系,标识管理服务器向客户端返回重定向响应;
客户端向标识网关发送业务请求,标识网关根据所述映射关系将所述业务请求信息进行转换并发送给业务服务器,并将收到的业务服务器的响应信息转换后发送给客户端。
2.如权利要求1所述的服务器安全防御方法,其特征在于,所述标识管理服务器包括多个标识管理服务器;域名服务器根据预设的策略从多个标识管理服务器中选择至少一个标识管理服务器的IP地址,并将所述IP地址返回给客户端。
3.如权利要求2所述的服务器安全防御方法,其特征在于,所述策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识管理服务器;或,轮询各标识管理服务器;或,选择负荷较轻的标识管理服务器。
4.如权利要求1所述的服务器安全防御方法,其特征在于,所述标识网关包括多个多个标识网关;标识管理服务器根据预设的策略选择至少一个标识网关发送动态标识请求。
5.如权利要求4所述的服务器安全防御方法,其特征在于,所述策略包括:根据客户端的位置信息,选择相对于客户端位置最近的标识网关;或,轮询各标识网关;或,选择负荷较轻的标识网关。
6.如权利要求1-5任一项所述的服务器安全防御方法,其特征在于,所述标识管理服务器向标识网关发送动态标识请求时,将客户端的IP地址、业务服务器标识发送给选择的所述标识网关。
7.如权利要求6所述的服务器安全防御方法,其特征在于,标识网关接收到所述动态标识请求之后,进行动态标识的分配,并建立客户端IP与动态标识之间的映射关系,或建立客户端IP、动态标识、业务服务器标识之间的映射关系;所述动态标识为标识网关地址和端口,或标识网关域名和端口;所述业务服务器标识为业务服务器的IP地址和端口,或业务服务器域名和端口。
8.如权利要求7所述的服务器安全防御方法,其特征在于,标识管理服务器根据业务请求中的业务标识和所述动态标识,将业务标识中的主机标识替换为动态标识,或在其中插入动态标识,生成重定向业务标识,重定向响应中的重定向业务标识信息,指示客户端向标识网关发送业务请求。
9.如权利要求1所述的服务器安全防御方法,其特征在于,标识网关接收到所述业务请求之后,根据请求消息中的源IP、目的IP与目的端口查找映射关系,若查找到对应的映射关系,则将所述业务请求转换后发送给业务服务器,否则,拒绝访问,或引导到预定系统。
10.如权利要求9所述的服务器安全防御方法,其特征在于,所述将所述业务请求转换包括:标识网关将业务请求的目的IP和端口,即动态标识,替换为映射关系中业务服务器标识对应的IP和端口,将响应的源IP和端口,即业务服务器标识,替换为动态标识对应的IP和端口。
11.如权利要求10所述的服务器安全防御方法,其特征在于,所述将所述业务请求转换还包括:标识网关将业务请求中的业务标识的动态标识替换为业务服务器标识。
12.一种服务器安全防御系统,包括:
客户端,用于支持域名解析客户端功能和业务访问功能,使用业务标识发起业务请求,还用于支持业务重定向功能,即根据业务服务器返回的重定向响应访问指定的网络资源;
域名服务器,用于将业务服务器的域名解析为标识管理服务器的IP地址;并根据预设的策略从多个标识管理服务器中选择一个或多个标识管理服务器的IP地址;
标识管理服务器,用于接收客户端发送的业务请求,根据预设的策略选择标识网关,向标识网关请求动态标识,生成重定向业务标识,向客户端返回重定向响应;
标识网关,用于根据标识管理服务器的请求生成动态标识,建立客户端IP地址、动态标识、业务服务器标识之间的映射关系,并根据映射关系转发来自客户端的业务请求和发往客户端的响应;
业务服务器,用于提供业务服务。
13.一种通信设备,其特征在于,包括处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或多个计算机程序,以实现如权利要求1-11中任一项所述的服务器安全防御方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或多个计算机程序,所述一个或多个计算机程序可以一个或多个处理器执行,以实现如权利要求1-11中任一项所述的服务器安全防御方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910913485.6A CN112565318A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
| PCT/CN2020/110346 WO2021057348A1 (zh) | 2019-09-25 | 2020-08-20 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910913485.6A CN112565318A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112565318A true CN112565318A (zh) | 2021-03-26 |
Family
ID=75029483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910913485.6A Pending CN112565318A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112565318A (zh) |
| WO (1) | WO2021057348A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113194076A (zh) * | 2021-04-16 | 2021-07-30 | 中盈优创资讯科技有限公司 | 一种安全控制器及其实现方法 |
| CN113992382A (zh) * | 2021-10-22 | 2022-01-28 | 北京京东振世信息技术有限公司 | 业务数据处理方法、装置、电子设备及存储介质 |
| CN115396397A (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军国防科技大学 | 基于转发关系确定缓存域名系统服务范围的方法和装置 |
| WO2023045191A1 (zh) * | 2021-09-22 | 2023-03-30 | 上海商汤智能科技有限公司 | 视频流的获取方法及装置、服务器、存储介质和程序产品 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115334150B (zh) * | 2022-08-15 | 2024-01-19 | 北京分贝通科技有限公司 | 一种数据转发的方法、装置、系统、电子设备及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981803A (zh) * | 2017-12-27 | 2019-07-05 | 中兴通讯股份有限公司 | 业务请求处理方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185859A (zh) * | 2011-05-09 | 2011-09-14 | 北京艾普优计算机系统有限公司 | 计算机系统和数据交互方法 |
| CN104378450A (zh) * | 2013-08-12 | 2015-02-25 | 深圳市腾讯计算机系统有限公司 | 网络攻击的防护方法及装置 |
| US10122630B1 (en) * | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
| CN105391811B (zh) * | 2014-08-29 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 域名解析方法、应用服务器的访问方法及其终端 |
-
2019
- 2019-09-25 CN CN201910913485.6A patent/CN112565318A/zh active Pending
-
2020
- 2020-08-20 WO PCT/CN2020/110346 patent/WO2021057348A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981803A (zh) * | 2017-12-27 | 2019-07-05 | 中兴通讯股份有限公司 | 业务请求处理方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113194076A (zh) * | 2021-04-16 | 2021-07-30 | 中盈优创资讯科技有限公司 | 一种安全控制器及其实现方法 |
| WO2023045191A1 (zh) * | 2021-09-22 | 2023-03-30 | 上海商汤智能科技有限公司 | 视频流的获取方法及装置、服务器、存储介质和程序产品 |
| CN113992382A (zh) * | 2021-10-22 | 2022-01-28 | 北京京东振世信息技术有限公司 | 业务数据处理方法、装置、电子设备及存储介质 |
| CN113992382B (zh) * | 2021-10-22 | 2024-04-05 | 北京京东振世信息技术有限公司 | 业务数据处理方法、装置、电子设备及存储介质 |
| CN115396397A (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军国防科技大学 | 基于转发关系确定缓存域名系统服务范围的方法和装置 |
| CN115396397B (zh) * | 2022-04-13 | 2023-07-14 | 中国人民解放军国防科技大学 | 基于转发关系确定缓存域名系统服务范围的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021057348A1 (zh) | 2021-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112565318A (zh) | 一种服务器安全防御方法及系统、通信设备、存储介质 | |
| CN109981803B (zh) | 业务请求处理方法及装置 | |
| CN107690800B (zh) | 管理动态ip地址分配 | |
| US8566474B2 (en) | Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network | |
| EP2460335B1 (en) | Locating subscription data in a multi-tenant network | |
| JP7036899B2 (ja) | エイリアス管理方法およびデバイス | |
| US9973590B2 (en) | User identity differentiated DNS resolution | |
| CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
| CN111327668B (zh) | 网络管理方法、装置、设备和存储介质 | |
| CN112738288A (zh) | Dns域名解析方法、dns服务器、gslb系统及域名解析系统 | |
| US9252947B1 (en) | Secure key distribution service | |
| US20200403963A1 (en) | Method and System for Processing Network Request, Entry Network Device and Exit Network | |
| CN102984696A (zh) | 基于移动终端的ip通信方法、设备和系统 | |
| CN113014682B (zh) | 实现网络动态性的方法、系统、终端设备及存储介质 | |
| CN111711654B (zh) | P2p通讯连接方法、电子设备及计算机可读存储介质 | |
| CN114979098A (zh) | 一种基于WebRTC的通讯方法、装置及电子设备 | |
| CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
| CN114650159A (zh) | 业务处理方法、装置、电子设备及存储介质 | |
| CN110677417A (zh) | 反爬虫系统及方法 | |
| EP2800336B1 (en) | Processing data | |
| CN108429823B (zh) | Dhcp网络中防止mac地址漂移的方法及交换设备 | |
| CN117424712A (zh) | 访问控制方法、电子设备及存储介质 | |
| CN117176797A (zh) | 一种资源发布方法、装置、系统及存储介质 | |
| CN113905021A (zh) | 固定电话的通信方法、装置、电子设备以及存储介质 | |
| CN116896456A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |