本发明专利技术提供了一种基于伪冒IP的源地址隐藏方法。其中,该方法包括:对主动访问和被动回连的源IP进行隐藏,通过设计G设备,G+设备,流000表设备和VPN服务器,实现访问境外目标及被动回连过程中对源地址的隐藏。其中,G设备根据特定规则将流量导给G+设备;G+设备具备两个网卡,一个与G设备连接,另外一个网卡与流表设备相连;流表设备位于(G+设备以及VPN服务器之间,主要流表创建和数据包修改;正常搭建的VPN服务器,负责用户的接入以及访问。负责用户的接入以及访问。负责用户的接入以及访问。
【技术实现步骤摘要】
一种基于伪冒IP的源地址隐藏方法
[0001]本专利技术及网络安全领域,具体而言,涉及一种基于伪冒IP的源地址隐藏方法。
技术介绍
[0002]近年来世界强国高度重视网络空间安全,围绕网络空间发展权、主导权和控制权展开激 烈角逐。其中特殊网络行动作为我方网络安全保障的手段之一,然而由于其特有的业务属性, 除面临其它信息系统相同的安全风险外,更易引起敌方的攻击和溯源追踪。
[0003]目前,阵地的安全防护主要采取防火墙、杀毒软件、入侵检测等老三样的被动防护技术, 及设置境外跳板、使用匿名代理网络等简单的反追踪溯源技术。并没有改变网络行动阵地的 确定性、相似性和静态性,也无法有效抵抗高级持续威胁,为了保障特殊网络行动能够稳定 持续安全地发展,针对特殊网络行动的反追踪、抗攻击等高安全需求,提出一种基于伪冒IP 的源地址隐藏方法。
技术实现思路
[0004]有鉴于此,本专利技术实施例的目的在于提供一种基于伪冒IP的源地址隐藏方法,不仅能 够起到网络安全且防溯源的通信目的,防止网络隐私泄露;而且能够有效提升已方网络的动 态性和不确定性,提升网络的安全防护能力。
[0005]第一方面,G+设备主要负责将G设备导入的流量转发给流表设备,该流量主要可分为以 下几类:
[0006]1、用户连接VPN服务器的流量,G+设备直接将目的IP修改为VPN服务器IP并转发给 流表设备;
[0007]2、VPN服务器发给用户的响应包,G+设备直接将源IP修改为虚假VPN IP并发送给G 设备;/>[0008]3、本地网络外的目标发送给伪装IP的流量,G+设备对数据包做GRE封装,将其发送给 流表设备;
[0009]4、VPN服务器访问本地网络外的目标的流量,G+设备去除数据包头部的GRE封装,并 将数据包转发给G设备;
[0010]5、流表设备流表不匹配的流量,G+设备去除数据包头部的GRE封装,将数据包转发给 G设备。
[0011]第二方面,流表设备主要功能为将所有G设备收到的本地网络外的目标发送给VPN的流 量转发给G+设备,G+设备查完流表后,将流量重新发送给流表设备,流表设备转发给VPN服 务器。
[0012]为使本专利技术的上述目的、特征和优点能更明显易懂,配合附图,如下。
附图说明
[0013]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附
图作简 单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的 限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图 获得其他相关的附图。
[0014]图1示出了本专利技术实所提供的一种基于伪冒IP的源地址隐藏方法的设备组成图;
[0015]图2示出了本专利技术实所提供的一种基于伪冒IP的源地址隐藏方法的设备组成图;
[0016]图2A示出了本专利技术实所提供的一种基于伪冒IP的源地址隐藏方法的设备处理数据包流 程图;
[0017]图2B示出了本专利技术所提供的一种基于伪冒IP的源地址隐藏方法的流表设备接收到数据 包示意图;图3示出了本专利技术所提供的一种基于伪冒IP的源地址隐藏方法的整体设备及核心模块 组成图。
具体实施方式
[0018]下面将结合本专利技术实施例中附图,对本专利技术实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图 中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在 附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅 表示本专利技术的选定实施例。基于本专利技术的实施例,本领域技术人员在没有做出创造性劳动的 前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0019]实施例1
[0020]参照图1,本专利技术实施例提供了一种基于伪冒IP的源地址隐藏方法。在本专利技术实施例 中,以隐藏IP地址技术为基础,设计并开发G设备,G+设备。实现访问境外目标及被动回连 过程中对源地址的隐藏。在本专利技术中,G设备根据特定规则将流量导给G+设备;G+设备具备 两个网卡。该方法具体包括以下步骤:
[0021]步骤101:用户访问境外目标,访问数据包需要先经过G设备。
[0022]步骤102:G设备根据特定规则将流量导给G+设备。
[0023]步骤103:G+设备具备两个网卡,一个与G设备连接,另外一个网卡与流表设备相连。 通过将数据包修改后发送给境外目标。
[0024]步骤104:境外目标获得请求后,将相应数据包返回,首先通过G设备,然后重复步骤 102,步骤103,最后将修改后数据包返还给用户。
[0025]实施例2
[0026]参加图2,本专利技术实施例提供了一种基于伪冒IP的源地址隐藏方法。在本专利技术实施例 中,以隐藏IP地址技术为基础,设计并开发G设备,G+设备,流表设备和VPN服务器,实现 访问境外目标及被动回连过程中对源地址的隐藏。在本专利技术中,G设备根据特定规则将流量 导给G+设备;G+设备具备两个网卡,一个与G设备连接,另外一个网卡与流表设备相连该方 法具体包括以下步骤:
[0027]步骤201
‑
204:用户访问境外目标,其数据包类型<用户IP,给定境外IP,端口a,端 口b,GRE(境外目标IP,目标端口c,数据)>,首先数据包到达G设备后,匹配给定境外 IP,将此数据包转给G+设备,其数据包类型<用户IP,给定境外IP,端口a,端口b,GRE(境 外目标
IP,目标端口c,数据)>。
[0028]G+设备修改数据包,图2A所示,修改后的数据包类型<用户IP,G+设备IP,端口a, 端口b,GRE(境外目标IP,目标端口c,数据)>。图2B所示,流表设备需要判断数据包是 用户发来的还是境外目标的响应包,VPN服务器接收数据包,并发送数据包访问境外目标IP, 其数据包类型<G+设备IP,境外目标IP,端口a1(vpn服务器分配),目标端口c,(数据)>。 修改源端口为构造端口(10随机+6校验和),并发出,其数据包类型为<G+设备IP,境外目 标IP,构造端口a2,目标端口c,(type 2,伪装IP,数据)>,并在流表设备上进行建表: 境外目标IP,目标端口c,源端口a1||境外目标IP,伪装IP,目的端口c,构造端口a2。
[0029]G设备收到修改后的数据包,此时数据包类型<G+设备IP,境外目标IP,构造端口a2, 目标端口c,(type 2,伪装IP,数据)>,并将其转到G+设备。G+设备收到数据包,提取伪 装IP,type并修改源IP,将数据包并发出。数据包类型<伪装IP,境外目标IP,构造端口 a2,目本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于伪冒IP的源地址隐藏方法,其特征在于,所述方法包括:用户主动访问本地网络外的目标服务器或者由目标服务器被动回连时,对用户IP进行隐藏。从目标服务器上看来,发往自身的数据包的源IP是位于分布于本地网络内的伪装原型IP,与用户真实IP毫无联系。即使目标服务器开展追踪溯源,在伪装原型上也没有任何系统用户活动的记录。2.根据权利要求1所述的方法,其特征在于,用户访问本地网络外的目标服务器,其数据包类型<用户IP,给定本地网络外的IP,端口a,端口b,GRE(本地网络外的目标IP,目标端口c,数据)>。3.根据权利要求2所述的方法,其特征在于,数据包到达G设备后,匹配给定本地网络外的IP,将此数据包转给G+设备,其数据包类型<用户IP,给定本地网络外的IP,端口a,端口b,GRE(境外目标IP,目标端口c,数据)>。4.根据权利要求3所述的方法,其特征在于,G+设备修改数据包,修改后的数据包类型<用户IP,G+设备IP,端口a,端口b,GRE(本地网络外的目标IP,目标端口c,数据)>。5.根据权利要求4所述的方法,其特征在于,流表设备需要判断数据包是用户发来的还是本地网络外的目标响应包,VPN服务器接收数据包,并发送数据包访问本地网络外的目标IP,其数据包类型<G+设备IP,本地网络外的目标IP,端口a1(vpn服务器分配),目标端口c,(数据)>。6.根据权利要求5所述的方法,其特征在于,修改源端口为构造端口(10随机+6校验和),并发出,其数据包类型为<G+设备IP,本地网络外的目标IP,构造端口a2,目标端口c,(type 2,伪装IP,数据)>,并在流表设备上进行建表:本地网络外的目标IP,目标端口c,源端口a1||本地网络外的目标IP,伪装IP,目的端口c,构造端口a2。7.根据权利要求6所述的方法,其特征在于,G设备收到修改后的数据包,此时数据包类型<G+设备IP,境外目标IP,构造端口a2,目标端口c,(type 2,伪装IP,数据)>,并将其转到G+设备。8.根据权利要求7所述的方法,其特征在于,G+设备收到数据包,提取伪装IP,t...
【专利技术属性】
技术研发人员:司成祥,王梦禹,王亿芳,毛蔚轩,侯美佳,樊峰峰,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。