一种基于跳通道模式的抵御ddos攻击的方法
【技术领域】
[0001] 本发明具体涉及一种基于跳通道模式的抵御DD0S攻击的方法。
【背景技术】
[0002] DD0S的英文全称是Distributed Denial of Service,中文译为分布式拒绝服务 攻击。STS的英文全称是Station-to-Station,中文译为站到站,是将Diffie-Hellman密 钥协商方案和一个安全的交互识别方案结合在一起。通过对随机挑战进行签名提供了交互 认证。
[0003] 互联网应用的不断扩大,一般人都能控制多台电脑,通过在网上搜索简单易用的 攻击工具,就能发起攻击,特别是没有技术含量的DD0S攻击,给网络安全带来了从未有过 的技术挑战。DD0S是借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,对 一个或多个目标发动拒绝服务攻击,从而成倍地提高拒绝服务攻击的威力。拒绝服务攻击 即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程 甚至网络带宽,从而阻止正常用户的访问。
[0004] DD0S攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。这种 攻击方式可分为以下几种:通过使网络过载来干扰甚至阻断正常的网络通讯;通过向服务 器提交大量请求,使服务器超负荷;阻断某一用户访问服务器;阻断某服务与特定系统或 个人的通讯。
[0005] DD0S攻击会造成以下几种攻击现象:被攻击主机上有大量等待的TCP连接;网络 中充斥着大量的无用的数据包;制造高流量无用数据,造成网络拥塞,使受害主机无法正常 和外界通讯;利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使 主机无法处理所有正常请求;严重时会造成系统死机。
[0006] 防火墙、入侵检测等传统防护手段本质上属于消极的被动式防御,不能满足现代 网络攻防的基本需求,使得防御者在信息战中十分被动。因此,需要研究积极的主动式防 护手段。端信息跳变正是在这种形势下应运而生的主动防护技术,以虚实变换、干扰迷惑 为指导思想,以端口变换为主要防护手段,以保障高效且稳定的网络服务为最终目的。
[0007] 无线通信中的跳频技术,通过变换通信频率以达到抗干扰和抗截获的目的,为网 络环境下实现隐蔽通信提供了非常好的借鉴。跳端口技术,借鉴了在通信领域发展比较成 熟的跳频技术,实现计算机网络环境下的隐蔽通信。传统的通信方式是收发双方约定一对 固定的端口号,这十分类似无线通信中的定频通信。攻击者只要掌握了通信双方的端口号 或中心频率,就能全部截获通信的内容。而跳频通信时双方拥有相同的频点资源和跳频图 案,通信时双方实际使用的频率变化可以高达每秒几百次到上千次,第三方企图通过同步 跟踪的方法窃取信息是难以实现的。跳端口通信在通信中的一个重要特征就是端口号随机 跳跃,通信双方不断地在新端口号上建立通信连接。跳端口技术可以是基于数据包或是基 于会话的,每一个数据包和每一次会话所使用的端口号都是不一样的。
[0008] 跳端口通信中的端口变化显示出的随机性,也使其有效提高了特定端口遭到攻击 时数据通信的成功率。在跳端口通信中,双方通过连接初始的数据交换,拥有约定好的跳端 口图样和跳端口时间,在通信过程中按照跳端口图样进行端口的跳变,这样侦听者就难以 掌握端口跳跃规律。从而敌方难以跟踪通信全过程,大大地降低了敌方窃取信息的能力。由 于收端和发端知道具体的跳端口方式,所以它们之间可以进行可靠的通信。
[0009] 现有技术的缺点:
[0010] (1)只在通信一方进行跳端口,没有在通信双方同时进行跳端口。
[0011] (2)只在TCP/UDP协议中进行跳端口,没有考虑ICMP、IP等其他协议通道。
[0012] (3)端口号由查询表产生,不具有随机性。
[0013] (4)数据的打包过程没有进行数据的重组和加密,数据包容易被拆开。
[0014] (5)在传输过程中没有使用加密算法,安全性不高。
【发明内容】
[0015] 本发明针对现有技术的不足,提出了一种抵御DD0S攻击的多通道跳端口通信模 式,使网络之间能够更加安全地通信。实现过程为:让通信双方临时协商多条不同的通信通 道,让攻击者不能确定攻击目标,只要多条通道中任意时刻有一条通道能正常传送数据,通 信双方就能维持一条安全的数据通道;将临时密钥映射为端口号,端口号随机产生,使敌方 难以攻击到,XML格式定义数据包,收到数据包后检查标志位,防止丢包和去重,提高了通信 的安全性和可靠性,能有效的抵御DD0S攻击。
[0016] 具体地,本发明提供一种基于跳通道模式的抵御DD0S攻击的方法,所述方法包括 如下步骤:
[0017] ( -)、初始化通信步骤:预定面向连接的TCP通道,面向无连接的UDP,IP,ICMP等 通道发送密钥;
[0018] (二)、密钥协商步骤:利用STS算法,通过预定的多通道进行密钥协商,产生共享 密钥TSK ;
[0019] (三)、映射跳变信息步骤;
[0020] (四)、建立新通信步骤:将通道类型和端口号的列表发送给接收方,接收方发送 同意通信的通道类型和端口号的列表,进行确认;
[0021] (五)、XML格式定义数据包步骤:设计一种XML的消息数据格式,携带有数据包的 唯一性标识,携带有片段编号用于标识分块数据的顺序并用于删除重复的数据包,同时也 加入加密和签名;
[0022] (六)、传递信息步骤:设计数据的接收队列和发送队列;
[0023] (七)、继续映射跳变信息,建立新通信,传递信息步骤;
[0024] 重复上述步骤,直到通信结束。
[0025] 本发明技术方案带来的有益效果:
[0026] -、收发双方可利用面向连接的TCP协议或面向无连接的UDP协议,IP协议,ICMP 协议进行多通道跳变通信协商,难以被攻击和阻塞,可靠性更高。
[0027] 二、端口随机跳变,侦听者难以掌握跳变规律,端口几乎不会遭到攻击。
[0028] 三、XML格式定义数据包,产生一个随机数当作数据包的唯一性标识,产生片段编 号用于标识分块数据的顺序,同时用于删除重复的数据包,使敌方难以进行攻击和阻塞。
[0029] 四、在用XML格式定义数据包时,加入加密算法和签名算法,使用加密算法STS,使 密钥可以安全穿过不安全网络,使敌方难以窃取信息,提高了数据的安全性。
【附图说明】
[0030] 图1为本发明基于跳通道模式的抵御DD0S攻击的方法的流程图。
【具体实施方式】
[0031] 下面结合附图和实施例对本发明进行详细的描述。
[0032] 本发明针对上述现有技术的不足,提出了一种抵御DD0S攻击的多通道跳端口通 信模式,使网络之间能够更加安全地通信。实现过程为:让通信双方临时协商多条不同的通 信通道,让攻击者不能确定攻击目标,只要多条通道中任意时刻有一条通道能正常传送数 据,通信双方就能维持一条安全的数据通道;将临时密钥映射为端口号,端口号随机产生, 使敌方难以攻击到,XML格式定义数据包,收到数据包后检查标志位,防止丢包和去重,提高 了通信的安全性和可靠性,能有效的抵御DD0S攻击。
[0033] 如图1所示,本发明的具体流程如下:
[0034] (一)初始化通信阶段
[0035] 预定面向连接的TCP通道,面向无连接的UDP,IP,ICMP等通道发送密钥,TCP通道 的端口号为1026, UDP通道的端口号为2048, ICMP通道初始化类型