一種防止網(wǎng)絡(luò)攻擊方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種防止網(wǎng)絡(luò)攻擊方法及系統(tǒng)����。
【背景技術(shù)】
[0002] 傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序,如:ftp����、pop和telnet在本質(zhì)上都是不安全的,因為 它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)��,別有用心的人非常容易就可以截獲這些口令 和數(shù)據(jù)����,而且,這些服務(wù)程序的安全驗證方式也是有其弱點的�����,就是很容易受到"中間 人"(man-in-the-middle)這種方式的攻擊。
[0003] 所謂"中間人"的攻擊方式�,就是"中間人"冒充真正的服務(wù)器接收你傳給服務(wù)器的 數(shù)據(jù),然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器���,服務(wù)器和你之間的數(shù)據(jù)傳送被"中間人"一 轉(zhuǎn)手做了手腳之后�,就會出現(xiàn)很嚴(yán)重的問題���。
[0004] 通過使用安全外殼協(xié)議SSH�,可以把所有傳輸?shù)臄?shù)據(jù)進行加密��,這樣〃中間人〃這 種攻擊方式就不可能實現(xiàn)了�,而且也能夠防止DNS欺騙和IP欺騙;使用SSH�,還有一個額外 的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸速度����。
[0005]SSH有很多功能,它既可以代替Telnet�����,又可以為FTP、PoP����、甚至為PPP提供一個 安全的"通道";如果需要遠程訪問計算機并啟用了安全外殼協(xié)議SSH連接��,入侵者就會嘗 試突破防線并控制計算機��,一定程度上威脅數(shù)據(jù)通信安全�����。
[0006] 因此�����,如何增加入侵者的攻擊難度��,有效保障數(shù)據(jù)通信安全���,是迫切需要解決的一 個問題。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明提供一種防止網(wǎng)絡(luò)攻擊方法及系統(tǒng)�,以解決上述問題。
[0008] 本發(fā)明提供一種防止網(wǎng)絡(luò)攻擊方法���,上述方法包括以下步驟:
[0009] 服務(wù)器采用預(yù)設(shè)端口替換與SSH連接的標(biāo)準(zhǔn)端口后����,對SSH配置文件中的配置參 數(shù)進行設(shè)置;
[0010] 服務(wù)器接收終端發(fā)送的外部連接請求后�,若識別出與訪問端口對應(yīng)的預(yù)定義的嘗 試序列即敲門序列后,則打開所述訪問端口并向所述終端提示輸入認證信息�����;
[0011] 認證通過后���,所述服務(wù)器根據(jù)獲取的SSH配置文件中的配置參數(shù)�����,控制所述終端 的訪問�����。
[0012] 本發(fā)明還提供一種防止網(wǎng)絡(luò)攻擊系統(tǒng)�����,包括終端�����、服務(wù)器�����;其中�����,所述終端與所述 服務(wù)器連接��;
[0013] 所述服務(wù)器���,用于采用預(yù)設(shè)端口替換與SSH連接的標(biāo)準(zhǔn)端口后��,對SSH配置文件 中的配置參數(shù)進行設(shè)置;還用于接收終端發(fā)送的外部連接請求后��,若識別出與訪問端口對 應(yīng)的預(yù)定義的嘗試序列即敲門序列后���,則打開所述訪問端口并向所述終端提示輸入認證信 息���;還用于認證通過后,所述服務(wù)器根據(jù)獲取的SSH配置文件中的配置參數(shù),控制所述終端 的訪問����。
[0014] 相較于之前技術(shù),本發(fā)明提供的一種防止網(wǎng)絡(luò)攻擊方法及系統(tǒng)����,使用多級方式加 強計算機的遠程連接安全,使入侵者在嘗試突破并控制計算機時難度增大�,從而確保計算 機的安全。
【附圖說明】
[0015] 此處所說明的附圖用來提供對本發(fā)明的進一步理解�����,構(gòu)成本申請的一部分��,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明�����,并不構(gòu)成對本發(fā)明的不當(dāng)限定�。在附圖中:
[0016] 圖1所示為本發(fā)明實施例1的防止網(wǎng)絡(luò)攻擊方法流程圖;
[0017] 圖2所示為本發(fā)明實施例2的防止網(wǎng)絡(luò)攻擊系統(tǒng)結(jié)構(gòu)圖���。
【具體實施方式】
[0018] 下文中將參考附圖并結(jié)合實施例來詳細說明本發(fā)明����。需要說明的是,在不沖突的 情況下���,本申請中的實施例及實施例中的特征可以相互組合��。
[0019] 圖1所示為本發(fā)明實施例1的防止網(wǎng)絡(luò)攻擊方法流程圖��,包括以下步驟:
[0020] 步驟101 :服務(wù)器采用預(yù)設(shè)端口替換與SSH連接的標(biāo)準(zhǔn)端口后����,對SSH配置文件中 的配置參數(shù)進行設(shè)置���;
[0021] 預(yù)設(shè)端口為19908. 1024以上的號碼中的任意一個��。
[0022] 例如:與SSH連接的標(biāo)準(zhǔn)端口是22,因此�����,為了讓計算機更安全����,應(yīng)該采取的第一 個措施是把與SSH連接的標(biāo)準(zhǔn)端口替換為另一個不常用的非標(biāo)準(zhǔn)端口���,比如19908. 1024以 上的號碼通常都可以使用����。
[0023] 具體過程如下:
[0024] 編譯文件:/etc/ssh/sshd_config���,獲取標(biāo)準(zhǔn)端口Port22行���,把端口號改為 19908 ;保存該文件并用/etc/init.d/sshrestart命令重啟SSH。
[0025] 對SSH配置文件中的配置參數(shù)進行設(shè)置包括:設(shè)置一次登錄花費最大時長參數(shù) (例如:30秒�����,允許一次登錄花費30秒�,如果用戶一次登錄花費時長超過30秒,就不允許訪 問����,必須重新登錄)、錯誤嘗試最大次數(shù)參數(shù)(例如:3次�����;3次之后拒絕登錄嘗試)�����、使用協(xié) 議類型參數(shù)、登錄用戶類型參數(shù)(例如:非超級用戶)�����。
[0026] 身份驗證模塊PAM:
[0027] PAM提供四個安全領(lǐng)域(賬戶限制�、用戶識別、密碼管理�、連接管理)的特性,但 是應(yīng)用程序不太可能同時需要所有這些方面���,例如�����,passwd命令只需要下面列表中的第三 組:
[0028] Account處理賬戶限制���,對于有效的用戶,允許他做什么���?
[0029] Auth處理用戶識別�����,例如�����,通過輸入用戶名和密碼�����。
[0030] Password處理密碼管理�����,比如設(shè)置新密碼�����。
[0031] Session處理連接管理�����,包括日志記錄���。
[0032] 在/etc/pam.d目錄中為將使用的PAM的每個應(yīng)用程序創(chuàng)建一個配置文件,文件名 與應(yīng)用程序名相同�����。例如,login命令的配置文件是/etc/pam.d/login�����。
[0033] 必須定義將應(yīng)用那些單元����,創(chuàng)建一個動作"堆"。PAM運行堆中的所有單元��,根據(jù)他 們的結(jié)果允許或拒絕用戶的請求��。還必須定義檢查是否是必需的���。最后�,other文件為沒 有特殊規(guī)則的所有應(yīng)用程序提供默認規(guī)則����。
[0034] Optional單元可以成功,也可以失?���?�;PAM根據(jù)單元是否最終成功返回success或 failure�。
[0035]Required單元必須成功�,如果失敗�����,PAM返回failure����,但是會在運行堆中的其他 單元之后返回。
[0036] Requisite單元也必須成功�����,但是����,如果失敗,PAM立即返回failure�����,不再運行其 他單元。
[0037] Sufficient單元在成功時導(dǎo)致PAM立即返回success���,不再運行其他單元����。
[0038] 配置文件的結(jié)構(gòu)很簡單�。可以包含注釋����,通過在換行處加上反斜杠(\),可以把 長的行分為多行���;行有三個字段:領(lǐng)域(account,auth,password或session)控制標(biāo)志 (optional,required,requisite或sufficient)�����,將運行的模塊的路徑和參數(shù)��。另外����,可以 使用include規(guī)則以包含其他文件中的規(guī)則����,比如authincludecommon-account�。
[0039] 特殊的/etc/pam.d/other文件是"默認的"配置文件(見列表1)����,其中的規(guī)則自 動地應(yīng)用于沒有自己的配置文件的所有應(yīng)用程序,為了確保安全�����,應(yīng)該快速檢查/etc/pam. d目錄����,把不使用的所有配置文件改為其他名稱(這樣就會使用other配置)���。如果認為確 實需要某個應(yīng)用程序���,那么只需要把配置文件改回原來的名稱。默認配置通常拒絕所有請 求(通過使用pam_deny.so模塊)并警告管理員(pam_warn.so模塊)��,讓管理員解決問題�。
[0040] 標(biāo)準(zhǔn)的"Other"配置文件為沒有自己的配置文件的所有應(yīng)用程序提供安全的默認 規(guī)則(拒絕所有請求)。
[0041 ] 標(biāo)準(zhǔn)的"other"配置文件
[0042]
[0043] 列表 1
【主權(quán)項】
1. 一種防止網(wǎng)絡(luò)攻擊方法����,其特征在于��,包括w下步驟: 服務(wù)器采用預(yù)設(shè)端口替換與S甜連接的標(biāo)準(zhǔn)端口后����,對S甜配置文件中的配置參數(shù)進 行設(shè)置��; 服務(wù)器接收終端發(fā)送的外部連接請求后�����,若識別出與訪問端口對應(yīng)的預(yù)定義的嘗試序 列即敲口序列后�����,則打開所述訪問端口并向所述終端提示輸入認證信息��; 認證通過后���,所述服務(wù)器根據(jù)獲取的S甜配置文件中的配置參數(shù)���,控制所述終端的訪 問。
2. 根據(jù)權(quán)利要求1所述的方法�,其特征在于��,服務(wù)器接收外部連接請求之前�����,還包括: 服務(wù)器關(guān)閉所有端口并隱藏�。
3. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,服務(wù)器預(yù)先存儲端口與預(yù)定義嘗試序列 對應(yīng)關(guān)系����。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,服務(wù)器預(yù)先安裝敲口守護進程knockd用 于監(jiān)視敲口序列�。
5. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,預(yù)設(shè)端口為19908. 1024 W上的號碼中的 任意一個�����。
6. 根據(jù)權(quán)利要求1所述的方法��,其特征在于,配置參數(shù)包括���;一次登錄花費最大時長參 數(shù)���、錯誤嘗試最大次數(shù)參數(shù)、使用協(xié)議類型參數(shù)��、登錄用戶類型參數(shù)���。
7. -種防止網(wǎng)絡(luò)攻擊系統(tǒng)�,其特征在于���,包括終端�、服務(wù)器�����;其中�,所述終端與所述服 務(wù)器連接; 所述服務(wù)器��,用于采用預(yù)設(shè)端口替換與S甜連接的標(biāo)準(zhǔn)端口后����,對S甜配置文件中的配 置參數(shù)進行設(shè)置�����;還用于接收終端發(fā)送的外部連接請求后���,若識別出與訪問端口對應(yīng)的預(yù) 定義的嘗試序列即敲口序列后,則打開所述訪問端口并向所述終端提示輸入認證信息��;還 用于認證通過后��,所述服務(wù)器根據(jù)獲取的S甜配置文件中的配置參數(shù)����,控制所述終端的訪 問。
【專利摘要】本發(fā)明提供一種防止網(wǎng)絡(luò)攻擊方法及系統(tǒng)���,上述方法包括以下步驟:服務(wù)器采用預(yù)設(shè)端口替換與SSH連接的標(biāo)準(zhǔn)端口后,對SSH配置文件中的配置參數(shù)進行設(shè)置����;服務(wù)器接收終端發(fā)送的外部連接請求后,若識別出與訪問端口對應(yīng)的預(yù)定義的嘗試序列即敲門序列后��,則打開所述訪問端口并向所述終端提示輸入認證信息;認證通過后����,所述服務(wù)器根據(jù)獲取的SSH配置文件中的配置參數(shù),控制所述終端的訪問����,使用多級方式加強計算機的遠程連接安全,使入侵者在嘗試突破并控制計算機時難度增大��,從而確保計算機的安全����。
【IPC分類】H04L29-06, H04L29-08
【公開號】CN104639536
【申請?zhí)枴緾N201510003878
【發(fā)明人】張立雨
【申請人】浪潮(北京)電子信息產(chǎn)業(yè)有限公司
【公開日】2015年5月20日
【申請日】2015年1月5日