防溯源网络代理方法和系统与流程

本发明涉及网络代理技术领域，特别涉及一种防溯源网络代理方法和系统。

背景技术：

网络代理是客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源(如：文件)。在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。

一般来说代理服务器具有多种功能：突破自身IP访问限制，访问外国站点；网络用户可以通过代理访问外国网站；访问一些单位或团体内部资源，使用教育网内地址段免费代理服务器，就可以用于对教育网开发的各类FTP下载上传以及各类资料查询共享等服务；提高访问速度，通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度；隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。

然而网络代理服务器通常是采用固定的IP(一个IP地址或一组IP地址)来替代客户端去访问目的站点，获取目标站点的数据资源，然后再目的站点返回的数据资源发送给客户端，但是这样往往存在以下两个问题：

1、目标站点具有客户访问统计功能，很容易发现有大量的请求来自固定的IP(一个IP或者一组IP)，会被认为是非法或恶意请求，从而对其进行访问限制，导致代理失败。

2、通过数据流量分析，可以很快的跟踪到具体的代理服务器130地址，从而采取恶意攻击手段，导致代理失败。

技术实现要素：

针对传统的代理服务器具有固定的IP，很容易被目标站点发现大量的请求来自同一IP或一组IP，被认为是非法或恶意请求，通过对代理服务器的IP进行跟踪并对其进行攻击，导致其代理失败的问题，提出一种防溯源网络代理方法和系统，通过设置硬件串接设备，将客户端的请求数据包引流到代理服务器，在目标站点或目标服务器获取的都是实际用户地址，目标站点或目标服务器无法区分是实际客户发起的请求还是代理服务器发起的请求，通过IP无法查询到代理服务器的地址及位置，从实现隐蔽运行、不被发现的效果。

一方面，提出一种防溯源网络代理方法，包括：

客户端将请求数据包发送到具有数据包引流以及回流功能的硬件串接设备；

所述硬件串接设备将所述请求数据包引流至用于对客户端请求提供代理服务的代理服务器的第一以太网端口；

所述代理服务器获取利用IP修改模块将所述请求数据包中的客户端IP修改成代理服务器IP后构成的第一请求数据包，与客户端建立通信连接；

与所述客户端建立通信连接后，所述代理服务器获取利用IP修改模块将所述请求数据包中的代理服务器IP修改成客户端IP后构成的第二请求数据包，并将第二请求数据包通过硬件串接设备发送到目的站点；

所述目的站点根据请求数据包内容，将需要返回的数据包经过所述硬件串接设备引流至所述代理服务器。

根据本发明所述的一种防溯源网络代理方法，所述代理服务器获取利用IP修改模块将所述请求数据包中的客户端IP修改成代理服务器IP后构成的第一请求数据包，与客户端建立通信连接，包括：

所述读取模块从以太网接收端口读取请求数据包，保存数据包包头控制信息和链路编号信息，并将请求数据包写入用于传输请求数据包的第一虚拟通道；

所述代理服务器中的代理模块获取被修改成所述代理服务器IP的请求数据包；

代理模块发送响应包到客户端，建立代理服务器与客户端之间的连接。

根据本发明所述的一种防溯源网络代理方法，所述代理模块发送响应包到客户端，建立代理服务器与客户端之间的连接，包括：

所述代理模块将响应数据包经过协议栈发送至第一虚拟通道，所述读取模块读取第一虚拟通道中读取响应数据包；

所述代理模块根据源IP、源端口与目的IP、目的端口的四元组信息查找响应数据包的控制信息头和链路编号信息，将所述响应数据包添加用于标示代理服务器输入输出端口编号的MAC-IN-MAC头后，形成响应包发送到所述串接设备；

所述串接设备根据链路编号将所述响应包发送至客户端。

根据本发明所述的一种防溯源网络代理方法，所述与所述客户端建立通信连接后，所述代理服务器获取利用IP修改模块将所述请求数据包中的代理服务器IP修改成客户端IP后构成的第二请求数据包，并将第二请求数据包通过硬件串接设备发送到目的站点，包括：

所述代理服务器中的代理模块将所述第二请求数据包经过协议栈发送至用于将数据包传输到协议栈的第二虚拟通道；

所述代理服务器中的读取模块从所述第二虚拟通道读取第二请求数据包；

将所述读取模块中的第二请求数据包加上MAC-IN-MAC头，通过代理服务器的第二以太网端口发送到硬件串接设备；

所述硬件串接设备根据链路编号将其发送到目的站点。

根据本发明所述的一种防溯源网络代理方法，所述目的站点根据请求数据包内容，将应答数据包经过所述硬件串接设备引流至所述代理服务器，包括：

所述硬件串接设备将所述应答数据包引流至所述代理服务器的第二以太网端口；

所述读取模块从所述第二以太网端口读取应答数据包；

所述IP修改模块将应答数据包IP替换为代理服务器IP，构成代理应答数据包；

将所述代理应答数据包通过第二虚拟通道传输到代理模块。

另一方面，提出一种防溯源网络代理系统，包括：

硬件串接设备：与代理服务器通信连接，用于将需要处理的请求数据包和应答数据包引流到代理服务器；

代理服务器：与所述硬件串接设备通信连接，用于向客户端提供代理服务，并对对引流过来的请求数据包和应答数据包的IP进行修改，以便隐藏自己的IP。

根据本发明所述的一种防溯源网络代理系统，所述防溯源网络代理系统还包括：

客户端：与所述硬件串接设备通信连接，用于向或从所述硬件串接设备发送请求数据包或接收应答数据包；

目标站点：与所述硬件串接设备通信连接，用于向或从所述硬件串接设备发送应答数据包或接收请求数据包；

第一、二路由器：用于实现客户端和目标站点与所述硬件串接设备的网络数据传输。

根据本发明所述的一种防溯源网络代理系统，所述代理服务器包括用于传输用于数据包接收或发送的第一、二以太网端口，用于读物以太网数据包的读取模块，用于修改请求数据包或应答数据包IP的IP修改模块，用于传输请求数据包的第一、二虚拟通道以及用于对请求数据包或应答数据包进行各层协议封装的协议栈。

实施本发明提供的一种防溯源网络代理方法和系统，通过设置硬件串接设备，将客户端的请求数据包引流到代理服务器，代理服务器的IP修改模块将请求数据包中的IP修改为代理服务器IP，代理模块接收数据包后发出响应包到硬件串接设备，硬件串接设备根据链路编号将响应包发送到客户端，建立连接；在向目的站点发送请求数据包时，IP修改模块将代理服务器IP修改为客户端IP，目的站点根据请求数据数据包内容发送应答数据包经过硬件串接设备传输到代理服务器，在目标站点或目标服务器获取的请求数据包都是实际用户地址，目标站点或目标服务器无法区分是实际客户发起的请求还是代理服务器发起的请求，通过IP无法查询到代理服务器的地址及位置，从实现隐蔽运行、不被发现的效果。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明中一种防溯源网络代理方法实施例的流程示意图；

图2是本发明中一种防溯源网络代理方法实施例中步骤S3的子步骤流程示意图；

图3是本发明中一种防溯源网络代理方法实施例中步骤S33的子步骤流程示意图；

图4是本发明中一种防溯源网络代理方法实施例中步骤S4的子步骤流程示意图；

图5是本发明中一种防溯源网络代理方法实施例中步骤S5的子步骤流程示意图；

图6是本发明中一种防溯源网络代理系统实施例的组成连接示意图。

具体实施方式

网络代理是客户端110首先与代理服务器130创建连接，接着根据代理服务器130所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源(如：文件)。在后一种情况中，代理服务器130可能对目标服务器的资源下载至本地缓存，如果客户端110所要获取的资源在代理服务器130的缓存之中，则代理服务器130并不会向目标服务器发送请求，而是直接返回缓存了的资源。代理服务器130的选项和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。网络代理服务器130通常是采用固定的IP(一个IP地址或一组IP地址)来替代客户端110去访问目的站点140，获取目标站点的数据资源，然后再目的站点140返回的数据资源发送给客户端110。代理服务器130为了满足客户的需求，往往会频繁某一目标站点，目的站点140一般都具有访问统计功能，因此，很容易发现大量的访问请求来自某一固定的IP，从而对其进行限制，导致其代理失败或恶意攻击代理服务器130。

本发明要解决的问题是：现有的代理服务中，代理服务器130具有固定的IP，很容易被目标站点发现大量的请求来自同一IP或一组IP，被认为是非法或恶意请求，通过对代理服务器130的IP进行跟踪并对其进行攻击，导致其代理失败。

本发明提出的技术方案是：提出一种防溯源网络代理方法和系统，通过设置硬件串接设备120，将客户端110的请求数据包引流到代理服务器130，读取模块133读取通过第一以太网端口传输过来的请求数据包，保存IP控制信息和链路编号信息后传输到第一虚拟通道，IP修改模块138将请求数据包中的客户端110IP修改为代理服务器130IP，形成第一请求数据包传输到代理模块137，代理模块137逆向发送带有MAC-IN-MAC头的响应包到硬件串接设备120，硬件串接设备120根据链路编号通过第一路由器111将响应包传输到客户端110，到此，代理服务器130与客户端110建立了通信连接；第一请求数据包被IP修改模块138将IP修改客户端110IP后，构成第二请求数据包，并加上MAC-IN-MAC头后以与响应包同样的传输过程传输到第二以太网端口，硬件串接设备120根据链路编号信息将第二请求数据包传输到目的站点140，完成了请求数据包从客户端110到目的站点140的传输，在目的站点或目标服务器获取的请求数据包都是实际用户地址，目的站点或目标服务器无法区分是实际客户发起的请求还是代理服务器130发起的请求，通过IP无法查询到代理服务器130的地址及位置，从实现隐蔽运行、不被发现的效果。下面将结合附图对本发明进行详细的解释。

一、方法实施例

图1是本发明中一种防溯源网络代理方法实施例的流程示意图，请参考图1一种防溯源网络代理方法，包括：

S1、客户端110通过第一路由器111将请求数据包发送到具有数据包引流以及回流功能的硬件串接设备120。

硬件串接设备120负责从第一路由器111接收来自客户端110用于访问目的站点140的请求数据包，利用自身的引流和回注功能(将请求数据包引流到代理服务器130的第一以太网端口和将应答数据包回流到第二以太网端口)，将客户端110和代理服务器130的TCP连接分为两段，并使引流的请求数据包数据能够正常进入网络协议栈136，进行正常的协议封装，使请求数据包和应答数据包顺利进入代理服务器130，使代理服务器130顺利完成代理工作、修改数据包IP。

S2、硬件串接设备120将请求数据包引流至用于对客户端110请求提供代理服务的代理服务器130的第一以太网端口。

硬件串接设备120接收来自客户端110的请求数据包后，利用自身的引流功能，将请求数据包传输到第一以太网端口。

S3、代理服务器130获取利用IP修改模块138将请求数据包中的客户端110IP修改成代理服务器130IP后构成的第一请求数据包，与客户端110建立通信连接。

图2是本发明中一种防溯源网络代理方法实施例中步骤S3的子步骤流程示意图，请参考图2，步骤S3包括：S31、读取模块133从以太网接收端口读取请求数据包，保存数据包包头控制信息和链路编号信息，并将请求数据包写入用于传输请求数据包的第一虚拟通道；S32、代理服务器130中的代理模块137获取被修改成代理服务器130IP的请求数据包；S33、代理模块137发送响应包到客户端110，建立代理服务器130与客户端110之间的连接。

步骤S3主要工作时将请求数据包传输到代理服务器130中的代理模块137，将请求数据包中的客户端110IP修改成代理服务器130IP、代理模块137发出响应包到客户端110，建立客户端110与代理服务器130之间的通信连接。读取模块133从第一以太网接口131读取请求数据包后，保存请求数据包中具有IP信息的二层头和链路信息，二层头用于接下来修改IP，链路信息用于实现硬件串接设备120与代理服务器130之间的信息传输的硬件实现；IP修改模块138对第一虚拟通道中的请求数据包中的客户端110IP，将其改为代理服务器130IP，构成第一请求数据包，传输到代理模块137，代理还需要发送响应包到客户端110，建立客户端110与代理服务器130之间的通信，通过修改请求数据包IP，实现了代理服务器130与客户端110互相通信。

图3是本发明中一种防溯源网络代理方法实施例中步骤S33的子步骤流程示意图，请参考图3，步骤S33包括：S331、代理模块137将响应数据包经过协议栈136发送至第一虚拟通道，读取模块133读取第一虚拟通道中读取响应数据包；S332、代理模块137根据源IP、源端口与目的IP、目的端口的四元组信息查找响应数据包的控制信息头和链路编号信息，将响应数据包添加用于标示代理服务器130输入输出端口编号的MAC-IN-MAC头后，形成响应包发送到串接设备；S333、串接设备根据链路编号将响应包发送至客户端110。

接收到第一请求数据包后，代理模块137还需要发送一个响应数据包到客户端110，告诉客户端110：已经收到请求数据包，将做进一步处理，响应包发送硬件串接设备120的过程与请求数据包传到代理模块137的过程相逆，根据请求数据包传输时的源IP、源端口与目的IP、目的端口的对应关系查找传输响应包需要的链路信息，然后再添加MAC-IN-MAC头，例如代理服务器130的A口输入、B口输出的这种具有对应关系端口编号，通过这种关系找到代理服务器130中第一以太网接口131，硬件串接设备120通过第一路由器111将响应包传输到客户端110。

S4、与客户端110建立通信连接后，代理服务器130获取利用IP修改模块138将请求数据包中的代理服务器130IP修改成客户端110IP后构成的第二请求数据包，并将第二请求数据包通过硬件串接设备120发送到目的站点140。

图4是本发明中一种防溯源网络代理方法实施例中步骤S4的子步骤流程示意图，请参考图4，步骤S4包括：S41、代理服务器130中的代理模块137将第二请求数据包经过协议栈136发送至用于将数据包传输到协议栈136的第二虚拟通道135；S42、代理服务器130中的读取模块133从第二虚拟通道135读取第二请求数据包；S43、将读取模块133中的第二请求数据包加上MAC-IN-MAC头，通过代理服务器130的第二以太网端口发送到硬件串接设备120；S44、硬件串接设备120根据链路编号将其发送到目的站点140。

步骤S4主要为了在实现客户端110与代理服务器130的通信连接后，修改第一请求数据包中的代理服务器130IP为客户端110IP，构成第二请求数据包，代理服务器130需要将第二请求数据包传输到第二以太网端口，其过程与响应包的传输过程相同，硬件串接设备120从第二以太网端口接收到第二请求数据包后，根据链路编号将其发送到目标站点。通过修改第一请求数据包中的代理服务器130IP，构成第二请求数据包，第二请求数据包并不包含有代理服务器130的IP，传输到目标站点的第二请求数据包IP为实际用户的IP，达到了隐藏代理服务器130IP的目的，避免了代理服务器130遭受目标站点的攻击或致其代理失败等问题的出现。

S5、目的站点140根据请求数据包内容，将需要返回的数据包经过硬件串接设备120引流至代理服务器130。

图5是本发明中一种防溯源网络代理方法实施例中步骤S5的子步骤流程示意图，请参考图5，步骤S5包括：S51、硬件串接设备120将应答数据包引流至代理服务器130的第二以太网端口；S52、读取模块133从第二以太网端口读取应答数据包；

S53、IP修改模块138将应答数据包IP替换为代理服务器130IP，构成代理应答数据包；S54、将代理应答数据包通过第二虚拟通道135传输到代理模块137。

目的站点140在接收代理服务器130的第二请求数据包后，根据回流规则发出应答数据包到硬件串接设备120，回流规则指某一时间段内有多个IP访问目的站点140，目的站点140根据每个IP的请求内容返回数据包。在应答数据包传输到第二虚拟通道135后，需要将目的站点140IP修改为代理服务器130IP，然后才能将应答数据包传输到代理模块137，实现代理服务器130与目的站点140的信息通信。

二、系统实施例

图6是本发明中一种防溯源网络代理系统实施例组成逻辑连接示意图，请参考图6，一种防溯源网络代理系统，包括：

硬件串接设备120：与代理服务器130通信连接，用于将需要处理的请求数据包和应答数据包引流到代理服务器130；

代理服务器130：与硬件串接设备120通信连接，用于向客户端110提供代理服务，并对对引流过来的请求数据包和应答数据包的IP进行修改，以便隐藏自己的IP。

根据本发明的一种防溯源网络代理系统，防溯源网络代理系统还包括：

客户端110：与硬件串接设备120通信连接，用于向或从硬件串接设备120发送请求数据包或接收应答数据包；

目标站点：与硬件串接设备120通信连接，用于向或从硬件串接设备120发送应答数据包或接收请求数据包；

第一、二路由器(111，141)：用于实现客户端110和目标站点与硬件串接设备120的网络数据传输。

根据本发明的一种防溯源网络代理系统，代理服务器130包括用于传输用于数据包接收或发送的第一、二以太网端口，用于读物以太网数据包的读取模块133，用于修改请求数据包或应答数据包IP的IP修改模块138，用于传输请求数据包的第一、二虚拟通道(134，135)以及用于对请求数据包或应答数据包进行各层协议封装的协议栈136。

实施本发明提供的一种防溯源网络代理方法和系统，通过设置硬件串接设备120，将客户端110的请求数据包引流到代理服务器130，代理服务器130的IP修改模块138将请求数据包中的IP修改为代理服务器130IP，代理模块137接收数据包后发出响应包到硬件串接设备120，硬件串接设备120根据链路编号将响应包发送到客户端110，建立连接；在向目的站点140发送请求数据包时，IP修改模块138将代理服务器130IP修改为客户端110IP，目的站点140根据请求数据数据包内容发送应答数据包经过硬件串接设备120传输到代理服务器130，在目的站点或目标服务器获取的请求数据包都是实际用户地址，目的站点130或目标服务器无法区分是实际客户发起的请求还是代理服务器130发起的请求，通过IP无法查询到代理服务器130的地址及位置，从实现隐蔽运行、不被发现的效果

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。