本發(fā)明涉及一種基于跳通道模式的抵御DDOS攻擊的方法。本發(fā)明讓通信雙方臨時協(xié)商多條不同的通信通道，讓攻擊者不能確定攻擊目標(biāo)，只要多條通道中任意時刻有一條通道能正常傳送數(shù)據(jù)，通信雙方就能維持一條安全的數(shù)據(jù)通道；將臨時密鑰映射為端口號，端口號隨機產(chǎn)生，使敵方難以攻擊到，XML格式定義數(shù)據(jù)包，收到數(shù)據(jù)包后檢查標(biāo)志位，便于去重并防止丟包，提高了通信的安全性和可靠性，能有效的抵御DDOS攻擊。

技術(shù)領(lǐng)域

本發(fā)明具體涉及一種基于跳通道模式的抵御DDOS攻擊的方法。

背景技術(shù)

DDOS的英文全稱是Distributed Denial of Service，中文譯為分布式拒絕服務(wù)攻擊。STS的英文全稱是Station-to-Station，中文譯為站到站，是將Diffie-Hellman密鑰協(xié)商方案和一個安全的交互識別方案結(jié)合在一起。通過對隨機挑戰(zhàn)進行簽名提供了交互認(rèn)證。

互聯(lián)網(wǎng)應(yīng)用的不斷擴大,一般人都能控制多臺電腦，通過在網(wǎng)上搜索簡單易用的攻擊工具，就能發(fā)起攻擊，特別是沒有技術(shù)含量的DDOS攻擊，給網(wǎng)絡(luò)安全帶來了從未有過的技術(shù)挑戰(zhàn)。DDOS是借助于客戶端/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動拒絕服務(wù)攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問。這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。

DDOS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達到癱瘓網(wǎng)絡(luò)的目的。這種攻擊方式可分為以下幾種：通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊；通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷；阻斷某一用戶訪問服務(wù)器；阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。

DDOS攻擊會造成以下幾種攻擊現(xiàn)象：被攻擊主機上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請求，使主機無法處理所有正常請求；嚴(yán)重時會造成系統(tǒng)死機。

防火墻、入侵檢測等傳統(tǒng)防護手段本質(zhì)上屬于消極的被動式防御,不能滿足現(xiàn)代網(wǎng)絡(luò)攻防的基本需求,使得防御者在信息戰(zhàn)中十分被動。因此,需要研究積極的主動式防護手段。端信息跳變正是在這種形勢下應(yīng)運而生的主動防護技術(shù),以虛實變換、干擾迷惑為指導(dǎo)思想,以端口變換為主要防護手段,以保障高效且穩(wěn)定的網(wǎng)絡(luò)服務(wù)為最終目的。

無線通信中的跳頻技術(shù)，通過變換通信頻率以達到抗干擾和抗截獲的目的，為網(wǎng)絡(luò)環(huán)境下實現(xiàn)隱蔽通信提供了非常好的借鑒。跳端口技術(shù)，借鑒了在通信領(lǐng)域發(fā)展比較成熟的跳頻技術(shù)，實現(xiàn)計算機網(wǎng)絡(luò)環(huán)境下的隱蔽通信。傳統(tǒng)的通信方式是收發(fā)雙方約定一對固定的端口號，這十分類似無線通信中的定頻通信。攻擊者只要掌握了通信雙方的端口號或中心頻率，就能全部截獲通信的內(nèi)容。而跳頻通信時雙方擁有相同的頻點資源和跳頻圖案，通信時雙方實際使用的頻率變化可以高達每秒幾百次到上千次，第三方企圖通過同步跟蹤的方法竊取信息是難以實現(xiàn)的。跳端口通信在通信中的一個重要特征就是端口號隨機跳躍，通信雙方不斷地在新端口號上建立通信連接。跳端口技術(shù)可以是基于數(shù)據(jù)包或是基于會話的，每一個數(shù)據(jù)包和每一次會話所使用的端口號都是不一樣的。

跳端口通信中的端口變化顯示出的隨機性，也使其有效提高了特定端口遭到攻擊時數(shù)據(jù)通信的成功率。在跳端口通信中，雙方通過連接初始的數(shù)據(jù)交換，擁有約定好的跳端口圖樣和跳端口時間，在通信過程中按照跳端口圖樣進行端口的跳變，這樣偵聽者就難以掌握端口跳躍規(guī)律。從而敵方難以跟蹤通信全過程，大大地降低了敵方竊取信息的能力。由于收端和發(fā)端知道具體的跳端口方式，所以它們之間可以進行可靠的通信。

現(xiàn)有技術(shù)的缺點：

(1)只在通信一方進行跳端口，沒有在通信雙方同時進行跳端口。

(2)只在TCP/UDP協(xié)議中進行跳端口，沒有考慮ICMP、IP等其他協(xié)議通道。

(3)端口號由查詢表產(chǎn)生，不具有隨機性。