CN114629669A - 一种网络匿名通道构建方法 - Google Patents

一种网络匿名通道构建方法 Download PDF

Info

Publication number
CN114629669A
CN114629669A CN202011374197.7A CN202011374197A CN114629669A CN 114629669 A CN114629669 A CN 114629669A CN 202011374197 A CN202011374197 A CN 202011374197A CN 114629669 A CN114629669 A CN 114629669A
Authority
CN
China
Prior art keywords
subsystem
plug
network
quintuple
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011374197.7A
Other languages
English (en)
Inventor
司成祥
王梦禹
王亿芳
毛蔚轩
侯美佳
樊峰峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202011374197.7A priority Critical patent/CN114629669A/zh
Publication of CN114629669A publication Critical patent/CN114629669A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络匿名通道构建方法。其中,该方法包括:通过对特定网络流量数据包的高速捕获、精确识别、地址重定向,实现在亿级IP范围内进行无感复用;利用制定的变换策略,实现链路动态变化的控制。

Description

一种网络匿名通道构建方法
技术领域
本发明及网络安全领域,具体而言,涉及一种网络匿名通道构建方法。
背景技术
近年来世界强国高度重视网络空间安全,其中特殊网络行动作为我方网络安全保障的手 段之一,然而由于其特有的业务属性,除面临其它信息系统相同的安全风险外,更易引起敌 方的攻击和溯源追踪。
目前,阵地的安全防护主要采取防火墙、杀毒软件、入侵检测、设置境外跳板、使用匿 名代理网络等简单的反追踪溯源技术。无法有效抵抗高级持续威胁,为了保障特殊网络行动 能够稳定持续安全地发展,针对特殊网络行动的反追踪、抗攻击等高安全需求,提出网络匿 名通道构建方法。
发明内容
有鉴于此,本发明实施例的目的在于提供一种网络匿名通道构建方法,对特殊网络行动 阵地的网络进行匿名化,达到防溯源的目的。
附图说明
图1为一种网络匿名通道构建方法整体架构示意图。
图1A为插件子系统根据数据的类型进行流向处理示意图。
图1B为代理子系统根据数据的类型进行流向处理示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图 中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在 附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅 表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的 前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1,本发明实施提供了一种网络匿名通道构建方法。在本发明实施例中,以高速 捕获、精确识别、地址重定向为技术基础,设计插件子系统,代理子系统等构成。本发明该 方法具体包括以下步骤:
步骤401:YB用户访问境外目标,首先数据包达到X设备,匹配境外IP。
步骤202:将此数据包转给插件子系统,插件子系统将数据包修改后发送至代理子系统, 代理子系统接收数据包,判断数据包是用户发来的还是境外目标的响应包,若为用户数据包, 则跳过查流表,若不,则对数据包进行处理,利用基于随机分布的多比特Trie树五元组进行 数据源匹配方法变换IP。
步骤201:代理子系统将处理后数据包发回X设备,X设备再发送到境外IP。
插件子系统部署在给定的前端机上,以插件形式存在,按照规范的样式进行开发,主要 负责对匹配的数据包进行开发。
代理子系统由数据平台和VPN服务器组成。可由一台服务器上两台虚拟机部署完成。数 据平台采用定制Linux内核完成功能,VPN服务器可由Linux上构建开源VPN。
自定义头部说明:共包含5个字节,包括1byte的type,4字节的IP地址(可选)。其中:
type 1:VPN服务器发送给YB用户的响应包。
type 2:代理子系统访问目标IP的数据包。
type 3:境外目标响应数据包。
type 4:代理子系统查流表无匹配项,需将数据包发给插件子系统的数据包。

Claims (9)

1.一种网络匿名通道构建方法,其特征在于,所述方法包括:
通过基于随机分布的多比特Trie树五元组进行数据源匹配,从而达到IP随机变换复用的目的;通过YB平台,X设备,插件子系统和代理子系统构建通信过程。
2.根据权利要求1所述的方法,其特征在于,通过基于目的/源端口和协议域构造无冲突散列,利用该三域的组合数目非常少的优势,避免了空间爆炸。
3.根据权利要求2所述的方法,其特征在于,将目的/源IP连成比特串后分为4块,每块16bit,并将其中一块映射到一随机空间,将随机数和其余3块进行异或,获得五元组索引值。
4.根据权利要求3所述的方法,其特征在于,在Trie树终点存放最终五元组规则的索引值,每一个索引值的源/目的IP地址均匹配一次。
5.根据权利要求4所述的方法,其特征在于,通过基于随机分布的多比特Trie树五元组进行数据源匹配得到伪装IP的地址。
6.根据权利要求1所述的方法,其特征在于,X设备位于本地网络的网关处,负责根据下发规则,将特定流量导入到插件系统中,将插件子系统处理完毕的数据流重新发回网络。
7.根据权利要求1所述的方法,其特征在于,插件子系统拿到特定数据流之后,根据设计逻辑修改数据包并将数据包发回给X设备。
8.根据权利要求1所述的方法,其特征在于,代理子系统主要为YB用户提供VPN接入功能。数据平台位于VPN服务器之前,负责将流量修改后发给VPN服务器或者发出。VPN服务器为正常搭建的服务器。
9.根据权利要求1所述的方法,其特征在于,YB用户是系统所服务的用户,该用户可以通过YB平台伪装成本地网络内的任意IP地址,开展相关业务。用户可以位于本地网络内的任意位置,只要其具有除本地网络外的其它网络的接入能力即可。
CN202011374197.7A 2020-11-27 2020-11-27 一种网络匿名通道构建方法 Pending CN114629669A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011374197.7A CN114629669A (zh) 2020-11-27 2020-11-27 一种网络匿名通道构建方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011374197.7A CN114629669A (zh) 2020-11-27 2020-11-27 一种网络匿名通道构建方法

Publications (1)

Publication Number Publication Date
CN114629669A true CN114629669A (zh) 2022-06-14

Family

ID=81894763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011374197.7A Pending CN114629669A (zh) 2020-11-27 2020-11-27 一种网络匿名通道构建方法

Country Status (1)

Country Link
CN (1) CN114629669A (zh)

Similar Documents

Publication Publication Date Title
Demchak et al. China’s maxim–leave no access point unexploited: The hidden story of china telecom’s bgp hijacking
US7765309B2 (en) Wireless provisioning device
Traynor et al. Mitigating attacks on open functionality in SMS-capable cellular networks
US8191119B2 (en) Method for protecting against denial of service attacks
EP1775910B1 (en) Application layer ingress filtering
Maximov et al. Network topology masking in distributed information systems
JP4768020B2 (ja) IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
Geng et al. Defending wireless infrastructure against the challenge of DDoS attacks
CN105262737B (zh) 一种基于跳通道模式的抵御ddos攻击的方法
CN103763194A (zh) 一种报文转发方法及装置
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN113746788A (zh) 一种数据处理方法及装置
CN112165460B (zh) 流量检测方法、装置、计算机设备和存储介质
WO2021135382A1 (zh) 一种网络安全防护方法及防护设备
CN110995586B (zh) 一种bgp报文的处理方法、装置、电子设备及存储介质
CN101141396B (zh) 报文处理方法和网络设备
RU2307392C1 (ru) Способ (варианты) защиты вычислительных сетей
RU2576488C1 (ru) СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК
Chang et al. Cloud-clustered firewall with distributed SDN devices
CN106790310B (zh) 分布式拒绝服务攻击防护与负载均衡一体化的方法和系统
CN114629669A (zh) 一种网络匿名通道构建方法
CN105471839B (zh) 一种判断路由器数据是否被窜改的方法
EP3073701B1 (en) Network protection entity and method for protecting a communication network against fraud messages
CN114629667A (zh) 一种基于ip大范围变换的链路动态变化方法
RU2686023C1 (ru) Способ защиты вычислительных сетей

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination