技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及網(wǎng)絡(luò)服務(wù)通信領(lǐng)域，具體是指一種基于PING包實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)開啟和關(guān)閉的系統(tǒng)及方法。

背景技術(shù)

PING是一種電腦網(wǎng)絡(luò)工具，用來測試數(shù)據(jù)包能否通過IP協(xié)議到達(dá)特定主機(jī)，PING的運(yùn)作原理是向目標(biāo)主機(jī)傳出一個(gè)ICMP?echo(Internet控制報(bào)文協(xié)議回聲應(yīng)答)要求數(shù)據(jù)包，并等待接收echo回應(yīng)數(shù)據(jù)包。

三次握手具體為：第一次握手建立連接時(shí)，客戶端發(fā)送SYN(同步)包到服務(wù)器，并進(jìn)入SYN_SENT(請求連接)狀態(tài)，等待服務(wù)器確認(rèn)；第二次握手服務(wù)器收到SYN包，必須確認(rèn)客戶的SYN，同時(shí)自己也發(fā)送一個(gè)SYN包，此時(shí)服務(wù)器進(jìn)入SYN_RECV(拒絕連接)狀態(tài)；第三次握手客戶端收到服務(wù)器的SYN包，向服務(wù)器發(fā)送確認(rèn)包，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED(連接成功)狀態(tài)，完成三次握手。

現(xiàn)有技術(shù)中服務(wù)器提供各種網(wǎng)絡(luò)服務(wù)需要開啟一些TCP或者UDP端口(HTTP，SSH(安全外殼協(xié)議)，Telnet，F(xiàn)TP等等)，以便客戶端能夠連接提供各種網(wǎng)絡(luò)業(yè)務(wù)服務(wù)，或者用于網(wǎng)管，開發(fā)者監(jiān)控，調(diào)試服務(wù)器等。

如圖1所示，為現(xiàn)有技術(shù)中TCP的三次握手步驟流程圖，client端(客戶端)主動(dòng)發(fā)起一個(gè)TCP?SYN包，server端(服務(wù)器端)回一個(gè)SYN?ACK包，client端再回一個(gè)ACK包三次握手就完成了，但是惡意攻擊在三次握手期間沒有任何鑒權(quán)的過程，給惡意攻擊者帶來可乘之機(jī)。

在完成圖1的三次握手之后，很多網(wǎng)絡(luò)服務(wù)就開始服務(wù)，如圖2所示，為現(xiàn)有技術(shù)中三次握手后的惡意攻擊步驟流程圖，服務(wù)端在包中給出一些信息，讓客戶端去適配連接(典型的應(yīng)用如FTP，Telnet，SSH等)，惡意攻擊會根據(jù)這些信息判斷服務(wù)類型，有目的有區(qū)別地攻擊；或者即使服務(wù)端不主動(dòng)發(fā)第4個(gè)包，惡意攻擊根據(jù)開放的TCP端口直接發(fā)出圖2中的第5個(gè)包，嘗試服務(wù)端的反應(yīng)。雖然后續(xù)過程中大部分網(wǎng)絡(luò)服務(wù)有用戶名和密碼驗(yàn)證(FTP，Telnet，SSH都有)，或者再配合高強(qiáng)度的加密(如SSH)，但還是存在用戶名和密碼被猜出或者暴力破解出，無法保證絕對安全。

現(xiàn)有技術(shù)中可以利用修改知名服務(wù)端口為非知名服務(wù)端口，加強(qiáng)密碼強(qiáng)度，升級服務(wù)軟件等方法來加強(qiáng)安全防范措施提高抗攻擊能力，但是不能從根本上避免被攻擊的可能性，黑客通過掃描端口，掌握服務(wù)端口開啟狀況，然后用各種方法嘗試，仍有可能攻擊成功；并且通過升級服務(wù)軟件的辦法，成本高，代價(jià)大，需經(jīng)常對各種軟件和整個(gè)系統(tǒng)分別升級，而且有些問題通過軟件升級的方法是不能解決的。

發(fā)明內(nèi)容

本發(fā)明的目的是克服了上述現(xiàn)有技術(shù)的缺點(diǎn)，提供了一種能夠?qū)崿F(xiàn)降低惡意黑客進(jìn)行攻擊的可能性、對合法用戶的正常訪問仍開啟服務(wù)、增加一道防火墻、加強(qiáng)網(wǎng)絡(luò)安全、節(jié)省升級和管理成本、同時(shí)對多個(gè)或全部服務(wù)端口進(jìn)行監(jiān)控和授權(quán)、不改變原有配置、PING監(jiān)控模塊獨(dú)立配置安全規(guī)則、獨(dú)立升級、方便靈活的基于PING包實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)開啟和關(guān)閉的系統(tǒng)及方法。

為了實(shí)現(xiàn)上述目的，本發(fā)明的基于PING包實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)開啟和關(guān)閉的系統(tǒng)及方法具有如下構(gòu)成：

該基于PING包實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)開啟和關(guān)閉的系統(tǒng)，其主要特點(diǎn)是，所述的系統(tǒng)包括

網(wǎng)絡(luò)驅(qū)動(dòng)模塊，用以向PING監(jiān)控模塊發(fā)送特征包以及向網(wǎng)絡(luò)服務(wù)模塊發(fā)送開啟連接服務(wù)請求；

PING監(jiān)控模塊，用以根據(jù)所述的網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的特征包對網(wǎng)絡(luò)驅(qū)動(dòng)模塊進(jìn)行驗(yàn)證并根據(jù)驗(yàn)證結(jié)果判斷是否開啟端口網(wǎng)絡(luò)服務(wù)通道；

網(wǎng)絡(luò)服務(wù)模塊，用以向通過PING監(jiān)控模塊驗(yàn)證的網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送端口網(wǎng)絡(luò)服務(wù)通道開啟成功指令以及回復(fù)網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的開啟網(wǎng)絡(luò)連接服務(wù)請求并提供網(wǎng)絡(luò)服務(wù)。

利用所述的系統(tǒng)實(shí)現(xiàn)基于PING包實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)開啟和關(guān)閉的方法，其主要特點(diǎn)是，所述的方法包括以下步驟：

(1)所述的PING監(jiān)控模塊阻止所有端口的網(wǎng)絡(luò)服務(wù)請求；

(2)所述的網(wǎng)絡(luò)驅(qū)動(dòng)模塊向所述的PING監(jiān)控模塊發(fā)送特征包；

(3)所述的PING監(jiān)控模塊根據(jù)所述的網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送的特征包對網(wǎng)絡(luò)驅(qū)動(dòng)模塊進(jìn)行驗(yàn)證并根據(jù)驗(yàn)證結(jié)果判斷是否開啟端口網(wǎng)絡(luò)服務(wù)通道，若是則繼續(xù)步驟(4)，否則繼續(xù)步驟(5)；

(4)所述的PING監(jiān)控模塊開啟該通過驗(yàn)證的網(wǎng)絡(luò)驅(qū)動(dòng)模塊所指定的端口網(wǎng)絡(luò)服務(wù)通道，然后繼續(xù)步驟(6)；

(5)所述的PING監(jiān)控模塊對所述的網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)來的特征包不響應(yīng)，然后結(jié)束退出；

(6)所述的網(wǎng)絡(luò)服務(wù)模塊向所述的網(wǎng)絡(luò)驅(qū)動(dòng)模塊發(fā)送端口網(wǎng)絡(luò)服務(wù)通道開啟成功指令；