一種基于跳通道模式的抵御ddos攻擊的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明具體涉及一種基于跳通道模式的抵御DD0S攻擊的方法�。
【背景技術(shù)】
[0002] DD0S的英文全稱是Distributed Denial of Service,中文譯為分布式拒絕服務(wù) 攻擊���。STS的英文全稱是Station-to-Station�,中文譯為站到站����,是將Diffie-Hellman密 鑰協(xié)商方案和一個(gè)安全的交互識別方案結(jié)合在一起�����。通過對隨機(jī)挑戰(zhàn)進(jìn)行簽名提供了交互 認(rèn)證�����。
[0003] 互聯(lián)網(wǎng)應(yīng)用的不斷擴(kuò)大�,一般人都能控制多臺電腦��,通過在網(wǎng)上搜索簡單易用的 攻擊工具�,就能發(fā)起攻擊,特別是沒有技術(shù)含量的DD0S攻擊���,給網(wǎng)絡(luò)安全帶來了從未有過 的技術(shù)挑戰(zhàn)����。DD0S是借助于客戶端/服務(wù)器技術(shù)��,將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺��,對 一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)拒絕服務(wù)攻擊����,從而成倍地提高拒絕服務(wù)攻擊的威力。拒絕服務(wù)攻擊 即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問����。這些資源包括磁盤空間、內(nèi)存����、進(jìn)程 甚至網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問��。
[0004] DD0S攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源����,以達(dá)到癱瘓網(wǎng)絡(luò)的目的。這種 攻擊方式可分為以下幾種:通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊�����;通過向服務(wù) 器提交大量請求����,使服務(wù)器超負(fù)荷;阻斷某一用戶訪問服務(wù)器�;阻斷某服務(wù)與特定系統(tǒng)或 個(gè)人的通訊。
[0005] DD0S攻擊會造成以下幾種攻擊現(xiàn)象:被攻擊主機(jī)上有大量等待的TCP連接�����;網(wǎng)絡(luò) 中充斥著大量的無用的數(shù)據(jù)包;制造高流量無用數(shù)據(jù)��,造成網(wǎng)絡(luò)擁塞�����,使受害主機(jī)無法正常 和外界通訊���;利用受害主機(jī)提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請求���,使 主機(jī)無法處理所有正常請求;嚴(yán)重時(shí)會造成系統(tǒng)死機(jī)����。
[0006] 防火墻、入侵檢測等傳統(tǒng)防護(hù)手段本質(zhì)上屬于消極的被動(dòng)式防御����,不能滿足現(xiàn)代 網(wǎng)絡(luò)攻防的基本需求,使得防御者在信息戰(zhàn)中十分被動(dòng)���。因此����,需要研究積極的主動(dòng)式防 護(hù)手段���。端信息跳變正是在這種形勢下應(yīng)運(yùn)而生的主動(dòng)防護(hù)技術(shù)�,以虛實(shí)變換����、干擾迷惑 為指導(dǎo)思想,以端口變換為主要防護(hù)手段���,以保障高效且穩(wěn)定的網(wǎng)絡(luò)服務(wù)為最終目的���。
[0007] 無線通信中的跳頻技術(shù),通過變換通信頻率以達(dá)到抗干擾和抗截獲的目的����,為網(wǎng) 絡(luò)環(huán)境下實(shí)現(xiàn)隱蔽通信提供了非常好的借鑒。跳端口技術(shù)�����,借鑒了在通信領(lǐng)域發(fā)展比較成 熟的跳頻技術(shù),實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的隱蔽通信��。傳統(tǒng)的通信方式是收發(fā)雙方約定一對 固定的端口號�����,這十分類似無線通信中的定頻通信�����。攻擊者只要掌握了通信雙方的端口號 或中心頻率��,就能全部截獲通信的內(nèi)容����。而跳頻通信時(shí)雙方擁有相同的頻點(diǎn)資源和跳頻圖 案,通信時(shí)雙方實(shí)際使用的頻率變化可以高達(dá)每秒幾百次到上千次���,第三方企圖通過同步 跟蹤的方法竊取信息是難以實(shí)現(xiàn)的����。跳端口通信在通信中的一個(gè)重要特征就是端口號隨機(jī) 跳躍�����,通信雙方不斷地在新端口號上建立通信連接。跳端口技術(shù)可以是基于數(shù)據(jù)包或是基 于會話的���,每一個(gè)數(shù)據(jù)包和每一次會話所使用的端口號都是不一樣的���。
[0008] 跳端口通信中的端口變化顯示出的隨機(jī)性,也使其有效提高了特定端口遭到攻擊 時(shí)數(shù)據(jù)通信的成功率����。在跳端口通信中���,雙方通過連接初始的數(shù)據(jù)交換���,擁有約定好的跳端 口圖樣和跳端口時(shí)間,在通信過程中按照跳端口圖樣進(jìn)行端口的跳變���,這樣偵聽者就難以 掌握端口跳躍規(guī)律�。從而敵方難以跟蹤通信全過程����,大大地降低了敵方竊取信息的能力。由 于收端和發(fā)端知道具體的跳端口方式�����,所以它們之間可以進(jìn)行可靠的通信。
[0009] 現(xiàn)有技術(shù)的缺點(diǎn):
[0010] (1)只在通信一方進(jìn)行跳端口�����,沒有在通信雙方同時(shí)進(jìn)行跳端口��。
[0011] (2)只在TCP/UDP協(xié)議中進(jìn)行跳端口����,沒有考慮ICMP、IP等其他協(xié)議通道���。
[0012] (3)端口號由查詢表產(chǎn)生�,不具有隨機(jī)性�。
[0013] (4)數(shù)據(jù)的打包過程沒有進(jìn)行數(shù)據(jù)的重組和加密,數(shù)據(jù)包容易被拆開�。
[0014] (5)在傳輸過程中沒有使用加密算法,安全性不高��。
【發(fā)明內(nèi)容】
[0015] 本發(fā)明針對現(xiàn)有技術(shù)的不足����,提出了一種抵御DD0S攻擊的多通道跳端口通信模 式�����,使網(wǎng)絡(luò)之間能夠更加安全地通信�。實(shí)現(xiàn)過程為:讓通信雙方臨時(shí)協(xié)商多條不同的通信通 道�����,讓攻擊者不能確定攻擊目標(biāo)��,只要多條通道中任意時(shí)刻有一條通道能正常傳送數(shù)據(jù)�,通 信雙方就能維持一條安全的數(shù)據(jù)通道�;將臨時(shí)密鑰映射為端口號,端口號隨機(jī)產(chǎn)生����,使敵方 難以攻擊到,XML格式定義數(shù)據(jù)包�����,收到數(shù)據(jù)包后檢查標(biāo)志位���,防止丟包和去重����,提高了通信 的安全性和可靠性,能有效的抵御DD0S攻擊�����。
[0016] 具體地�����,本發(fā)明提供一種基于跳通道模式的抵御DD0S攻擊的方法�����,所述方法包括 如下步驟:
[0017] ( -)�、初始化通信步驟:預(yù)定面向連接的TCP通道,面向無連接的UDP�����,IP��,ICMP等 通道發(fā)送密鑰���;
[0018] (二)�、密鑰協(xié)商步驟:利用STS算法,通過預(yù)定的多通道進(jìn)行密鑰協(xié)商����,產(chǎn)生共享 密鑰TSK ;
[0019] (三)、映射跳變信息步驟����;
[0020] (四)、建立新通信步驟:將通道類型和端口號的列表發(fā)送給接收方�,接收方發(fā)送 同意通信的通道類型和端口號的列表,進(jìn)行確認(rèn)���;
[0021] (五)�、XML格式定義數(shù)據(jù)包步驟:設(shè)計(jì)一種XML的消息數(shù)據(jù)格式�,攜帶有數(shù)據(jù)包的 唯一性標(biāo)識�����,攜帶有片段編號用于標(biāo)識分塊數(shù)據(jù)的順序并用于刪除重復(fù)的數(shù)據(jù)包�����,同時(shí)也 加入加密和簽名�����;
[0022] (六)、傳遞信息步驟:設(shè)計(jì)數(shù)據(jù)的接收隊(duì)列和發(fā)送隊(duì)列����;
[0023] (七)、繼續(xù)映射跳變信息�,建立新通信,傳遞信息步驟���;
[0024] 重復(fù)上述步驟��,直到通信結(jié)束����。
[0025] 本發(fā)明技術(shù)方案帶來的有益效果:
[0026] -����、收發(fā)雙方可利用面向連接的TCP協(xié)議或面向無連接的UDP協(xié)議,IP協(xié)議�����,ICMP 協(xié)議進(jìn)行多通道跳變通信協(xié)商����,難以被攻擊和阻塞�,可靠性更高��。
[0027] 二����、端口隨機(jī)跳變,偵聽者難以掌握跳變規(guī)律�,端口幾乎不會遭到攻擊。
[0028] 三�����、XML格式定義數(shù)據(jù)包���,產(chǎn)生一個(gè)隨機(jī)數(shù)當(dāng)作數(shù)據(jù)包的唯一性標(biāo)識��,產(chǎn)生片段編 號用于標(biāo)識分塊數(shù)據(jù)的順序,同時(shí)用于刪除重復(fù)的數(shù)據(jù)包����,使敵方難以進(jìn)行攻擊和阻塞。
[0029] 四��、在用XML格式定義數(shù)據(jù)包時(shí),加入加密算法和簽名算法�����,使用加密算法STS�����,使 密鑰可以安全穿過不安全網(wǎng)絡(luò)�,使敵方難以竊取信息,提高了數(shù)據(jù)的安全性���。
【附圖說明】
[0030] 圖1為本發(fā)明基于跳通道模式的抵御DD0S攻擊的方法的流程圖�����。
【具體實(shí)施方式】
[0031] 下面結(jié)合附圖和實(shí)施例對本發(fā)明進(jìn)行詳細(xì)的描述�。
[0032] 本發(fā)明針對上述現(xiàn)有技術(shù)的不足����,提出了一種抵御DD0S攻擊的多通道跳端口通 信模式,使網(wǎng)絡(luò)之間能夠更加安全地通信����。實(shí)現(xiàn)過程為:讓通信雙方臨時(shí)協(xié)商多條不同的通 信通道��,讓攻擊者不能確定攻擊目標(biāo)�����,只要多條通道中任意時(shí)刻有一條通道能正常傳送數(shù) 據(jù)�����,通信雙方就能維持一條安全的數(shù)據(jù)通道��;將臨時(shí)密鑰映射為端口號�,端口號隨機(jī)產(chǎn)生���, 使敵方難以攻擊到����,XML格式定義數(shù)據(jù)包����,收到數(shù)據(jù)包后檢查標(biāo)志位,防止丟包和去重�,提高 了通信的安全性和可靠性,能有效的抵御DD0S攻擊�����。
[0033] 如圖1所示�����,本發(fā)明的具體流程如下:
[0034] (一)初始化通信階段
[0035] 預(yù)定面向連接的TCP通道��,面向無連接的UDP��,IP����,ICMP等通道發(fā)送密鑰,TCP通道 的端口號為1026, UDP通道的端口號為2048, ICMP通道初始化類型