CN114143073B - 基于动态代理链的内容分发ip隐蔽方法及系统 - Google Patents
基于动态代理链的内容分发ip隐蔽方法及系统 Download PDFInfo
- Publication number
- CN114143073B CN114143073B CN202111433051.XA CN202111433051A CN114143073B CN 114143073 B CN114143073 B CN 114143073B CN 202111433051 A CN202111433051 A CN 202111433051A CN 114143073 B CN114143073 B CN 114143073B
- Authority
- CN
- China
- Prior art keywords
- content
- request
- pieces
- nodes
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1074—Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
- H04L67/1078—Resource delivery mechanisms
- H04L67/108—Resource delivery mechanisms characterised by resources being split in blocks or fragments
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于动态代理链的内容分发IP隐蔽方法及系统,包括访问目录服务器;目录服务器获取所有活跃的中继节点信息,并随机选择m个中继节点作为代理中继;接收攻击者向受害目标发送的请求,并将请求内容分为n片;将n片内容分别由动态代理链的n个入口节点代理转发给第二内容服务器;第二内容服务器将接收到的n片内容进行重组并转发给受害目标;统一响应第二内容服务器发送的n个请求入口节点并将受害目标的原始响应内容还原;利用本发明提供的基于动态代理链的内容分发IP隐蔽方法及系统,当公安机关等执法部门成功控守犯罪分子主机的情况下,可以隐藏自己的IP身份。
Description
技术领域
本发明涉及信息技术领域,具体涉及一种基于动态代理链的内容分发IP隐蔽方法及系统。
背景技术
现有技术中针对渗透测试等攻击的IP身份隐蔽方法,具体落地实现多种多样,如跳板代理、使用虚拟机等,都基于转发技术。将攻击者由真实主机下达的命令或内容,与受害IP等目的信息组合,首先发送到一个攻击者可达的主机或服务器,由该机器进行内容转发,根据攻击者拥有的资源,转发到另一个代理服务器多次转发或直接转发到目标受害机。当受害主机企图得到攻击的IP身份时,只能在Waf、负载均衡等安全设备处得到最近一台代理主机的外网IP出口地址而非攻击者IP,从而达到简单的保护攻击者IP身份不被溯源的目的。
但是,现有技术存在以下缺点:
1.不能对抗高水平反制。转发方式,只能够达到让受害目标无法直接获取攻击者IP身份的效果。在受害目标拥有高水平反制能力的情形下,反制拿下代理服务器或跳板,通过流量监听等方法,层层梳理拨开,得到攻击者IP身份的可能性较高,不能够达到根本上隐蔽攻击者IP身份的目的。
2.网络延迟木桶效应。处于经济和便捷性等考虑,攻击者选择代理往往选择市面常见vps,并且为了安全考虑,往往多层级联。这就导致内容转发过程冗余且存在网络延迟木桶效应,命令与控制的响应性能由多级跳板代理中性能最差的决定,严重浪费带宽资源。
发明内容
为此,本发明实施例提供一种基于动态代理链的内容分发IP隐蔽方法及系统,以解决现有技术存在的针对渗透测试等攻击的IP身份隐蔽方法不能对抗高水平反制和网络延迟木桶效应的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
第一方面,一种基于动态代理链的内容分发IP隐蔽方法,包括:
访问目录服务器;所述目录服务器获取所有活跃的中继节点信息,并随机选择m个中继节点作为代理中继;
接收攻击者向受害目标发送的请求,并将所述请求内容分为n片;
将n片所述请求内容分别由Tor洋葱网络的动态代理链的n个入口节点进行代理转发,并通过n个出口节点到达第二内容服务器;所述第二内容服务器将接收到的n片所述请求内容进行重组并转发给所述受害目标;所述受害目标响应时,按照请求包五元组,将响应内容返回所述第二内容服务器,所述第二内容服务器将响应内容分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,由另外n个请求的出口节点统一响应给第一内容服务器;所述第一内容服务器将n片所述响应内容进行重组,并将其显示给攻击者。
作为优选,所述中继节点m的数目为3-5。
作为优选,所述n的数目为2-3。
作为优选,将所述请求内容分为n片之前,先判断所述请求的请求包是否为完整包。
作为优选,判断所述请求的请求包是否为完整包具体为:
判断所述请求的请求包头是否有规定的填充标记;
若无规定的填充标记,则为完整包。
作为优选,将所述请求内容分为n片后重新构建为n个源和目的相同、根据协议不同填充不同字节的包,并将每个分片的分片序列号插入请求头部。
作为优选,所述第二内容服务器将接收到的所述n片内容进行重组,具体包括:
从所述请求头部中取出所述分片序列号,按照所述分片序列号顺序重组为完整内容包。
作为优选,所述分片序列号为24位,前12位为分片id,第13位为分片总数,第14位为分片序号,第15-24位为分片偏移。
第二方面,一种基于动态代理链的内容分发IP隐蔽系统,包括:
目录服务器,用于保存中继节点集群中所有节点访问地址,并时刻与其他中继节点进行心跳联系,记录所有节点的状态;
第一内容服务器,用于接收攻击者向受害目标发送的请求,并将所述请求内容分为n片由Tor洋葱网络的动态代理链的n个入口节点进行代理转发,并通过n个出口节点到达第二内容服务器;
第二内容服务器,用于将接收到的n片所述请求内容进行重组并转发给所述受害目标;
以及接收所述受害目标的响应内容并将所述响应内容按照所述受害目标的请求包五元组分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,通过另外n个请求的出口节点发送给所述第一内容服务器。
本发明至少具有以下有益效果:本发明提供一种基于动态代理链的内容分发IP隐蔽方法及系统,包括访问目录服务器;目录服务器获取所有活跃的中继节点信息,并随机选择m个中继节点作为代理中继;接收攻击者向受害目标发送的请求,并将请求内容分为n片;将n片请求内容分别由动态代理链的n个入口节点代理转发给第二内容服务器;第二内容服务器将接收到的n片内容进行重组并转发给受害目标;受害目标响应时,按照请求包五元组,将响应内容返回第二内容服务器,第二内容服务器将响应内容分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,由另外n个请求的出口节点统一响应给第一内容服务器;第一内容服务器将n片响应内容进行重组,并将其显示给攻击者;利用本发明提供的基于动态代理链的内容分发IP隐蔽方法及系统,当公安机关等执法部门成功控守犯罪分子主机的情况下,可以隐藏自己的IP身份。
附图说明
为了更清楚地说明现有技术以及本发明,下面将对现有技术以及本发明实施例描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的基于动态代理链的内容分发IP隐蔽方法流程图;
图2为本发明实施例提供的基于动态代理链的内容分发IP隐蔽方法框图;
图3为本发明实施例提供的攻击者IP身份隐藏流程图;
图4为本发明实施例提供的分片序列号结构示意图。
附图标记说明:
1-第一内容服务器;2-第二内容服务器。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)旨在区别指代的对象。对于具有时序流程的方案,这种术语表述方式不必理解为描述特定的顺序或先后次序,对于装置结构的方案,这种术语表述方式也不存在对重要程度、位置关系的区分等。
此外,术语“包括”、“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元,而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元,或者基于本发明构思进一步的优化方案所增加的步骤或单元。
本发明的使用场景发生在渗透攻击者成功控守目标主机的场景下,本发明提供了在上述场景中进行攻击者IP身份的隐藏方法。
攻击者进行命令与控制服务器的IP地址、攻击者所处内网的出口IP地址等,能够直接关联到攻击者进行C&C攻击的主机或攻击者所处组织位置的IP信息,统一定义为攻击者的IP身份。攻击者IP身份一旦泄露,往往能判断出攻击者所属组织和地理位置,或者能通过C&C服务器顺藤摸瓜得到所有受害者信息并通报,这就意味着所有攻击的曝光以及权限的失守,因此对于攻击者,隐藏IP身份尤为重要。
根据ATT&CK框架,攻击时采用12种战术:初始访问、执行、持久化、提升权限、防御绕过、凭证访问、发现、横向移动、收集、命令和控制、数据渗透、影响。其中所有涉及攻击者与受害目标交互的战术,均存在泄露攻击者IP身份的可能因为都存在攻击者向受害目标进行通信的场景。然而双方通信是近源场景下获取控制权限的最基本前提,是不可避免的。
本发明融合内容分发技术和动态代理链技术,对攻击者与受害目标双方交互信道进行设计规划,实现攻击者IP身份的隐藏。
请参阅图1和图2,本发明的实施例提供一种基于动态代理链的内容分发IP隐蔽方法,包括:
S1:访问目录服务器;所述目录服务器获取所有活跃的中继节点信息,并随机选择m个中继节点作为代理中继;
请参阅图3,具体的,在第一内容服务器1的客户端使用动态代理链服务时,首先访问目录服务器,目录服务器根据获得所有活跃的中继节点信息,随后随机选择m个中继节点,由于要兼顾速度与安全性,所以数目通常为3-5个作为代理中继,其中第一个代理中继节点被定义为入口节点,随后将使用用户(攻击者)的流量从代理中继依次中继转发,在中间节点经过中继转发,在节点链的最后一个中继节点流出节点群,该节点被定义为出口节点。
需要说明的是,在任何客户端请求建立动态代理链路时,首先将自身网络地址与目标网络地址发送给目录服务器,目录服务器将从所有节点中根据最优规划算法,首先在所有运行中链路测试网络延时,当满足最优算法结果即可不必创建新链路。如已有链路并不满足要求,根据各个节点占用率、延迟以及最优规划,从出入口节点中各选择一个节点,另再选择m-2个节点,在其心跳稳定的前提下,发送链路转发指令,构建新的转发路由,构建一条更稳定可靠且快速的动态代理链路并保存该链路,随后将入口节点的网络地址返回给客户端,客户端直接将原始请求转发给目录服务器返回的入口节点网络地址;当链路被客户端请求废弃时,目录服务器向链路中节点发送指令解除各节点处于链路中的路由转发;当有新节点加入时,目录服务器首先检验节点稳定性与心跳,随后保存记录该节点网络地址,留待构建进入代理链路;当有节点被废弃,目录服务器检索所有包含该节点的链路,如果该节点为出入口节点,即重新选择链路并发送入口节点给客户端;废弃节点在链路中不是出入口时,则将前后节点重建路由转发。
S2:接收攻击者向受害目标发送的请求,并将所述请求内容分为n片;
第一内容服务器1接收到请求后,将请求内容分为n片,由于兼顾速度与安全性,数目通常为2-3片。
具体为,接收内容包后,首先根据请求包头是否有规定的填充标记,判断包为完整包还是切分包。如果无规定标记,则是完整包,则第一内容服务器1按照既定程序,对内容切分成n片,重新构建为n个源和目的相同、根据协议不同填充不同字节的包,并将每个分片的分片序列号插入请求头部。
分片序列为24位,前12位是分片id,唯一标记分片,由十位时间戳和2位顺序号构成;第13位是分片总数,标记分片的总数量;第14位是分片序号,标记该片在完整包的顺序;第15-24位是分片偏移,标记包体内容中有效片的偏移位置,前5位为起始偏移,后5位为结束偏移;随后利用搭载的动态代理链客户端,分别重构n个请求用来分别发送n个分片包。
请参阅图4,分片序列号图4所示,标识了2021-10-2916:26:21第23个被切分为4片的整包中的第三片切分包,在该包中,00012到00079为原始整包中的有效负载。
第一内容服务器1将n片内容分别由Tor洋葱网络的动态代理链的n个入口节点进行代理转发,通过n个出口节点,最终都到达第二内容服务器2。代理转发时从中继节点集群中选择不同的m个中继节点,走不同的代理链路发送到第二内容服务器2,返回时第二内容服务器2到第一内容服务器1的流量路径同理。
S3:将所述n片内容分别由动态代理链的n个入口节点代理转发给第二内容服务器2;所述第二内容服务器2将接收到的所述n片内容进行重组并转发给所述受害目标;所述受害目标响应时,按照请求包五元组,将响应内容返回所述第二内容服务器,所述第二内容服务器将响应内容分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,由另外n个请求的出口节点统一响应给第一内容服务器;所述第一内容服务器将n片所述响应内容进行重组,并将其显示给攻击者。
第二内容服务器2将接收到的n片内容进行重组时具体包括:
第二内容服务器2在接收内容包后,首先根据请求包头是否有规定的填充标记,判断包为完整包还是切分包。如果有规定标记,则是切分包,则按照既定程序,从头部填充中取出该切分包的分片序列号,按照既定格式分别取出分片id、分片序号、分片总数和分片偏移。在所接受的所有切分包中,提取出分片偏移的有效内容,根据分片id分类,如果总数与分片总数一致,则按照分片序号顺序重组为完整内容包;如果总数比分片总数少,则根据定时任务进入等待,达到超时限制时,按照既定要求将未接受的部分填充后,重组为完整内容包;如果总数多于分片总数,按照序号进行分别覆盖重组。重组完成后,发送给受害目标或返回给攻击者。
受害目标响应时,按照请求包五元组,直接将结果返回第二内容服务器2,第二内容服务器2将响应内容分为n片,根据之前的n个请求的五元组,返回n个Tor入口节点,n个响应层层返回,最终到达n个请求的出口节点,由n个出口节点统一响应给第一内容服务器1,第一内容服务器1进行内容重组,即可还原为受害目标的原始响应,将其显示给攻击者。
攻击者根据响应进行下一步操作,重复上述S2-S3步骤,需要注意的是,第一内容服务器1接受到攻击者的完整请求或者受害目标的完整返回时,将分割出来的n片数据分别重新建立短连接,这样动态代理链将重新选择m个节点,这就保证了攻击者每条指令下达后,都由不同的n个节点流出,并且走的路由线路也都不相同。这样,即使高水平受害目标反制第二内容服务器2后,也拿不到流量路径。
本发明的实施例提供一种基于动态代理链的内容分发IP隐蔽系统,包括:
目录服务器,用于保存中继节点集群中所有节点访问地址,并时刻与其他中继节点进行心跳联系,记录所有节点的状态;
具体的,目录服务器为动态代理链中最重要的服务器,它保存了中继节点集群中所有的节点访问地址,时刻与其他中继节点进行心跳联系,并记录了所有节点的状态:包括活跃程度、占用率、网络延迟、是否可作为出入口、所处的运行链路等。服务器或节点等网络设备的心跳机制定义为像心跳一样,每隔固定时间发一次,以此通知服务器节点正常运行,并保持长链接。
需要说明的是,中继节点集群中中继节点的数量多少,直接决定了动态代理链路的可靠性和隐蔽性。并且为了保证大部分节点的隐蔽性和可靠性,只有部分中继节点被允许作为出口或者入口节点,其他节点只用作内容中继和转发。
第一内容服务器1,用于接收攻击者向受害目标发送的请求,并将所述请求内容分为n片由动态代理链的n个入口节点代理转发给第二内容服务器2;
第二内容服务器2,用于将接收到的n片所述请求内容进行重组并转发给所述受害目标;
以及接收所述受害目标的响应内容并将所述响应内容按照所述受害目标的请求包五元组分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,通过另外n个请求的出口节点发送给所述第一内容服务器1。
关于基于动态代理链的内容分发IP隐蔽系统的具体限定可以参见上文中对于基于动态代理链的内容分发IP隐蔽方法的限定,在此不再赘述。
本发明提供的基于动态代理链的内容分发IP隐蔽方法和系统中的动态代理链网络由节点集群、目录服务器组成,根据最优规划算法,按照集群节点心跳、延迟、占用等多因素计算,客户端的每次请求,都流经随机构建稳定、快速的动态代理链路,实现源混淆;基于内容分发与重组方法,提出了分片序列号的构成报文格式与填充识别方法,以使内容服务器进行整分鉴别、分片、重组、分发;以及构建了隐蔽攻击的攻击流程,解决了可能被溯源到IP身份的问题。
综上,本发明具有以下优势:
(1)采用动态代理链,其原理即每次交互,会从众多节点中按顺序随机选择m个作为代理链路,保证攻击者每条指令都由不同的随机出口节点发出,每个出口节点、入口节点、中间节点都有众多其他代理连接,对于受害目标反制视角,攻击来源是由多个并且变化的不同IP,哪怕是高水平反制者,也无法通过反制手段追溯上一跳主机,更无法找到攻击源头;
(2)动态代理链路采用最有规划算法,通过动态选择节点集群中为数众多的最优中继节点,能够有效避免短板效应,安全隐蔽的同时,保证稳定快速的访问速度。
以上几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
以上实施例的各技术特征可以进行任意的组合(只要这些技术特征的组合不存在矛盾),为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述;这些未明确写出的实施例,也都应当认为是本说明书记载的范围。
上文中通过一般性说明及具体实施例对本发明作了较为具体和详细的描述。应当指出的是,在不脱离本发明构思的前提下,显然还可以对这些具体实施例作出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于动态代理链的内容分发IP隐蔽方法,其特征在于,旨在执法部门作为渗透攻击者成功控守犯罪分子主机的情况下,隐藏自己的IP身份,包括:
访问目录服务器;所述目录服务器获取所有活跃的中继节点信息,并随机选择m个中继节点作为代理中继;
接收攻击者向受害目标发送的请求,并将所述请求内容分为n片;
将n片所述请求内容分别由Tor洋葱网络的动态代理链的n个入口节点进行代理转发,并通过n个出口节点到达第二内容服务器;所述第二内容服务器将接收到的n片所述请求内容进行重组并转发给所述受害目标;所述受害目标响应时,按照请求包五元组,将响应内容返回所述第二内容服务器,所述第二内容服务器将响应内容分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,由另外n个请求的出口节点统一响应给第一内容服务器;所述第一内容服务器将n片所述响应内容进行重组,并将其显示给攻击者。
2.根据权利要求1所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,所述中继节点m的数目为3-5。
3.根据权利要求1所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,所述n的数目为2-3。
4.根据权利要求1所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,将所述请求内容分为n片之前,先判断所述请求的请求包是否为完整包。
5.根据权利要求4所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,判断所述请求的请求包是否为完整包具体为:
判断所述请求的请求包头是否有规定的填充标记;
若无规定的填充标记,则为完整包。
6.根据权利要求1所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,将所述请求内容分为n片后重新构建为n个源和目的相同、根据协议不同填充不同字节的包,并将每个分片的分片序列号插入请求头部。
7.根据权利要求6所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,所述第二内容服务器将接收到的所述n片内容进行重组,具体包括:
从所述请求头部中取出所述分片序列号,按照所述分片序列号顺序重组为完整内容包。
8.根据权利要求6所述的基于动态代理链的内容分发IP隐蔽方法,其特征在于,所述分片序列号为24位,前12位为分片id,第13位为分片总数,第14位为分片序号,第15-24位为分片偏移。
9.一种基于动态代理链的内容分发IP隐蔽系统,其特征在于,旨在执法部门作为渗透攻击者成功控守犯罪分子主机的情况下,隐藏自己的IP身份,包括:
目录服务器,用于保存中继节点集群中所有节点访问地址,并时刻与其他中继节点进行心跳联系,记录所有节点的状态;
第一内容服务器,用于接收攻击者向受害目标发送的请求,并将所述请求内容分为n片由Tor洋葱网络的动态代理链的n个入口节点进行代理转发,并通过n个出口节点到达第二内容服务器;
第二内容服务器,用于将接收到的n片所述请求内容进行重组并转发给所述受害目标;
以及接收所述受害目标的响应内容并将所述响应内容按照所述受害目标的请求包五元组分为n片,返回另外n个Tor入口节点,n个响应层层返回,最终到达另外n个请求的出口节点,通过另外n个请求出口节点发送给所述第一内容服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111433051.XA CN114143073B (zh) | 2021-11-29 | 2021-11-29 | 基于动态代理链的内容分发ip隐蔽方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111433051.XA CN114143073B (zh) | 2021-11-29 | 2021-11-29 | 基于动态代理链的内容分发ip隐蔽方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143073A CN114143073A (zh) | 2022-03-04 |
| CN114143073B true CN114143073B (zh) | 2023-10-13 |
Family
ID=80389208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111433051.XA Active CN114143073B (zh) | 2021-11-29 | 2021-11-29 | 基于动态代理链的内容分发ip隐蔽方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143073B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
| CN106657438A (zh) * | 2016-12-05 | 2017-05-10 | 深圳市任子行科技开发有限公司 | 防溯源网络代理方法和系统 |
| CN108494769A (zh) * | 2018-03-21 | 2018-09-04 | 广州大学 | 一种Tor匿名网络中隐藏服务的溯源方法 |
| CN108777650A (zh) * | 2018-06-08 | 2018-11-09 | 北京计算机技术及应用研究所 | 一种基于受控节点的匿名网络溯源方法 |
| CN111711597A (zh) * | 2020-04-16 | 2020-09-25 | 武汉大学 | 一种基于时隙流水印的Tor暗网用户溯源方法及系统 |
| CN112468517A (zh) * | 2021-01-25 | 2021-03-09 | 广州大学 | 一种抗溯源的匿名通信网络接入方法、系统及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
-
2021
- 2021-11-29 CN CN202111433051.XA patent/CN114143073B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
| CN106657438A (zh) * | 2016-12-05 | 2017-05-10 | 深圳市任子行科技开发有限公司 | 防溯源网络代理方法和系统 |
| CN108494769A (zh) * | 2018-03-21 | 2018-09-04 | 广州大学 | 一种Tor匿名网络中隐藏服务的溯源方法 |
| CN108777650A (zh) * | 2018-06-08 | 2018-11-09 | 北京计算机技术及应用研究所 | 一种基于受控节点的匿名网络溯源方法 |
| CN111711597A (zh) * | 2020-04-16 | 2020-09-25 | 武汉大学 | 一种基于时隙流水印的Tor暗网用户溯源方法及系统 |
| CN112468517A (zh) * | 2021-01-25 | 2021-03-09 | 广州大学 | 一种抗溯源的匿名通信网络接入方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143073A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113328B (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
| US7127510B2 (en) | Access chain tracing system, network system, and storage medium | |
| CN100413290C (zh) | 设置边界网关协议路由选择通知功能的方法 | |
| Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
| US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| CN101656638B (zh) | 面向误配置的域间前缀劫持检测方法 | |
| CN106789625A (zh) | 一种环路检测方法及装置 | |
| CN110213214B (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
| Biersack et al. | Visual analytics for BGP monitoring and prefix hijacking identification | |
| US8161555B2 (en) | Progressive wiretap | |
| CN109347670A (zh) | 路径追踪方法及装置、电子设备、存储介质 | |
| Van Hook et al. | An approach to DIS scalability | |
| CN107294743A (zh) | 一种网络路径探测方法、控制器及网络设备 | |
| CN114143073B (zh) | 基于动态代理链的内容分发ip隐蔽方法及系统 | |
| Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
| CN109962879A (zh) | 针对分布式反射拒绝服务DRDoS的安全防御方法和控制器 | |
| CN112350939A (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
| CN107241297A (zh) | 通信拦截方法及装置、服务器 | |
| CN113259387B (zh) | 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 | |
| CN106254375B (zh) | 一种无线热点设备的识别方法及装置 | |
| CN111953671B (zh) | 一种基于区块链的动态蜜网数据处理方法及系统 | |
| CN1822565A (zh) | 具有mac表溢出保护的网络 | |
| CN105227462B (zh) | 一种用于更新OpenFlow流表的方法与设备 | |
| KR101993875B1 (ko) | 소프트웨어 정의 네트워킹 환경에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램 | |
| KR101144368B1 (ko) | 라우터 시스템에서 공격자 단말기 역추적 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |