再次,这个路由是内部服务器与外部客户端相互通信的唯一通道。
客户端先从服务器的官方网站或者其他途径获得连接服务器所必须的同步插件,然后利用插件生成验证码并把验证码封装到SYN数据包当中。当数据包校验转发路由接收一个SYN数据包后,首先是对SYN数据包中的验证码进行校验,如果验证通过,则转发该SYN数据包给当前正在服务的服务器。否则,直接丢弃。因为在TCP通信过程中,使用的服务器IP地址和端口为公开的IP地址和端口,因此,如果攻击者进行网络监听的话,也是没有任何意义的。这也就很好地防止了攻击者的网络监听。
通过转发路由检验插件生成的有效验证码而直接过滤掉异常数据包。类似于NAT转换原理,内部服务器并不直接与外部客户端交互,而是通过
一个数据包校验转发路由来实现数据包的转发,从而实现服务器与客户端(包括攻击)的隔离。在正常的网络通信过程中,服务器使用的是一个公开的IP地址和端口,只有达到内部服务器网络后,才会转换为内部地址和端口。抵御攻击者的攻击是通过数据包校验转发路由实现的,数据包校验转发路由校验验证码与数据包的源地址是否匹配。若不匹配,则为异常数据包,丢弃。插件模型的具体实现如图2所示。
图2显示的是一次TCP连接的实现过程,具体步骤如下:
1)向服务器的UDP发言人提出时间戳请求;
2)UDP发言人接收到时间戳请求后,会在第一时间内将当前时间戳发送给对应的客户端;
3)客户端利用封装在插件内部的算法f(,localip)计算出验证码 ,其中 指时间戳,localip指本地IP地址;
4)将验证码封装到SYN数据包中并发往转发路由;
5)转发路由对收到的SYN数据包进行校验,同样利用算法f(τ,sip)计算出验证码,其中指时间戳,sip指SYN数据包的源地址,若 ,则正常数据包,进行转发,否则,直接丢弃。
所下载的插件还有一个功能就是本地扫描。本地扫描指对本地网段进行周期性的扫描,检测是否存在目的地址为服务器公开地址,而源地址不是本机地址的SYN数据包。若存在,则向服务器进行报警。增加这个功能的目的是防止攻击者冒充合法用户向服务器发起攻击。
4防护效果分析
本文提出的插件机制有以下的一些必备特性:
1)只有在获得插件后,客户端才能与服务器建立连接;
2)只要获得插件,任何客户端均可与服务器建立连接;
3)插件具有本地网络检测的功能,即发现异常数据包,并报警;
4)插件从服务器获得时间戳,并计算出验证码;
5)在原端信息跳变系统中,扩充一个数据包校验转发路由;
6)转发路由是内部服务器与外部客户端交互的唯一通道;
7)为了提高系统性能,校验工作仅仅对SYN数据包有效,其余数据包则直接转发。
由于服务器内部系统对外透明,而且转发路由是与服务器交互的唯一通道,转发路由提供一个公开的IP地址和PORT以供客户端的TCP连接,因此攻击者永远无法找到内部服务器,也就无法发起DoS攻击。
5结束语
从一些文献提出的抵御DoS攻击的措施中可以看到,抵御DoS攻击的一个基本趋势是让攻击者无法找到真正的服务器。因此,基于端信息跳变的DoS防护策略是符合总体发展趋势的,并且能够很好地遏制DoS攻击。但是也应该看到,基于TCP协议的网络通信是通过数据包实现的,也就是说,如果服务器直接与远端客户端建立TCP通信,不管服务器端抵御措施做得如何完善,在客户端的网络上的数据包就已经把服务器的端信息泄露了。为了防止服务器信息被攻击者侦测,本文对原服务器跳变系统进行了改进:不让服务器与客户端直接相连,而是采用公开的唯一的IP和端口在公网上传输,通过一个数据包校验转发路由来实现在服务器端的地址转换。
通过插件的引入,使得攻击者的网络侦听变得毫无意义,而且还保留了原服务器跳变系统的主动抵御性能。