TWI852130B - 自動代理系統及自動代理方法 - Google Patents

自動代理系統及自動代理方法 Download PDF

Info

Publication number
TWI852130B
TWI852130B TW111139333A TW111139333A TWI852130B TW I852130 B TWI852130 B TW I852130B TW 111139333 A TW111139333 A TW 111139333A TW 111139333 A TW111139333 A TW 111139333A TW I852130 B TWI852130 B TW I852130B
Authority
TW
Taiwan
Prior art keywords
proxy host
packet
main server
designated
proxy
Prior art date
Application number
TW111139333A
Other languages
English (en)
Other versions
TW202335474A (zh
Inventor
許劉銀妹
黃建鴻
黃士憲
陳建欣
朱以誠
吳家榮
王顥鈞
Original Assignee
許富皓
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 許富皓 filed Critical 許富皓
Publication of TW202335474A publication Critical patent/TW202335474A/zh
Application granted granted Critical
Publication of TWI852130B publication Critical patent/TWI852130B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2528Translation at a proxy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5076Update or notification mechanisms, e.g. DynDNS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明提出一種自動代理方法,其包含以下步驟。透過控制器從複數個代理主機中選取一者做為第一指定代理主機並將第一指定代理主機的網際網路協定位址做為主伺服器的對外網際網路協定位址;透過控制器進而與網域名稱系統溝通,使網域名稱系統更新主伺服器的網域名稱和第一指定代理主機的網際網路協定位址相互對映的記錄。

Description

自動代理系統及自動代理方法
本發明是有關於一種系統及方法,且特別是有關於一種自動代理系統及其自動代理方法。
網路攻擊是指對於電腦資訊系統、基礎設施、電腦網路或個人電腦裝置的任何類型的進攻動作。舉例而言,阻斷服務攻擊(denial-of-service attack)是一種網路攻擊手法,其目的在於使目標伺服器的網路或系統資源耗盡,使服務暫時中斷或停止,導致其正常使用者無法存取。
然而,現有的伺服器仍難以有效改善網路攻擊的問題。為了解決前述問題,相關領域莫不費盡心思來謀求解決之道,但長久以來一直未見適用的方式被發展完成。因此,如何能讓伺服器有效地避免網路攻擊,實屬當前重要研發課題之一,亦成爲當前相關領域亟需改進的目標。
本發明提出一種自動代理系統及自動代理方法,改善先前技術的問題。
在本發明的一實施例中,本發明所提出的自動代理系統包含複數個代理主機以及一控制器。控制器與複數個代理主機建立通訊,控制器從複數個代理主機中選取一者做為第一指定代理主機並將第一指定代理主機的網際網路協定位址(IP address)做為主伺服器的對外網際網路協定位址,控制器進而與網域名稱系統溝通,使網域名稱系統更新主伺服器的網域名稱和第一指定代理主機的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,當第一使用者裝置發送關於主伺服器的網域名稱的查詢請求給網域名稱系統時,網域名稱系統回傳第一指定代理主機的網際網路協定位址給第一使用者裝置,使第一使用者裝置透過第一指定代理主機於主伺服器存取服務,當第一指定代理主機檢測第一使用者裝置所傳送的使用者封包以後,第一指定代理主機動態地新增第一使用者裝置的網際網路協定位址進入防火牆白名單。
在本發明的一實施例中,在第一指定代理主機收到使用者封包以後,第一指定代理主機將使用者封包進行網際網路協定轉址以得出已轉址的使用者封包,使已轉址的使用者封包記載第一指定代理主機的網際網路協定位址,第一指定代理主機將已轉址的使用者封包發送至主伺服器,使主伺服器依據已轉址的使用者封包所記載的第一指定代理主機的網際網路協定位址,將一回應先送至第一指定代理主機再轉傳回第一使用者裝置。
在本發明的一實施例中,在第一指定代理主機受到網路攻擊且據以通知控制器以後,控制器從複數個代理主機中選取另一者做為第二指定代理主機並將第二指定代理主機的網際網路協定位址做為主伺服器的對外網際網路協定位址,控制器進而與網域名稱系統溝通,使網域名稱系統更新主伺服器的網域名稱和第二指定代理主機的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,在網域名稱系統更新主伺服器的網域名稱和第二指定代理主機的網際網路協定位址相互對映的記錄以後,第一使用者裝置繼續透過第一指定代理主機於主伺服器存取服務,當第二使用者裝置發送關於主伺服器的網域名稱的查詢請求給網域名稱系統時,網域名稱系統回傳第二指定代理主機的網際網路協定位址給第二使用者裝置,使第二使用者裝置透過第二指定代理主機於主伺服器存取服務。
在本發明的一實施例中,自動代理系統更包含網路交換器以及負載平衡器。網路交換器電性連接複數個代理主機,網路交換器與廣域網路建立通訊,負載平衡器電性連接網路交換器。當第一使用者裝置透過廣域網路與網路交換器將第一封包發送給負載平衡器時,負載平衡器透過網路交換器將第一封包傳送給複數個代理主機中之被選定的代理主機,被選定的代理主機將第一封包的來源網際網路協定位址從第一使用者裝置的網際網路協定位址變更為被選定的代理主機的網際網路協定位址並將第一封包的目標網際網路協定位址從負載平衡器的網際網路協定位址變更為主伺服器的網際網路協定位址以產生變更後的第一封包,被選定的代理主機透過網路交換器與廣域網路將變更後的第一封包發送給主伺服器,主伺服器透過廣域網路與網路交換器將第二封包發送給被選定的代理主機,被選定的代理主機將第二封包的來源網際網路協定位址從主伺服器的網際網路協定位址變更為負載平衡器的網際網路協定位址並將第二封包的目標網際網路協定位址從被選定的代理主機的網際網路協定位址變更為第一使用者裝置的網際網路協定位址以產生變更後的第二封包,被選定的代理主機透過網路交換器與廣域網路將變更後的第二封包發送給第一使用者裝置。
在本發明的一實施例中,本發明所提出的自動代理方法包含以下步驟:透過控制器從複數個代理主機中選取一者做為第一指定代理主機並將第一指定代理主機的網際網路協定位址做為主伺服器的對外網際網路協定位址;透過控制器進而與網域名稱系統溝通,使網域名稱系統更新主伺服器的網域名稱和第一指定代理主機的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,自動代理方法更包含:當一第一使用者裝置發送關於主伺服器的網域名稱的查詢請求給網域名稱系統時,透過網域名稱系統回傳第一指定代理主機的網際網路協定位址給第一使用者裝置,使第一使用者裝置透過第一指定代理主機於主伺服器存取服務;當第一指定代理主機檢測第一使用者裝置所傳送的使用者封包以後,透過第一指定代理主機動態地新增第一使用者裝置的網際網路協定位址進入防火牆白名單。
在本發明的一實施例中,自動代理方法更包含:在第一指定代理主機收到使用者封包以後,透過第一指定代理主機將使用者封包進行網際網路協定轉址以得出已轉址的使用者封包,使已轉址的使用者封包記載第一指定代理主機的網際網路協定位址;透過第一指定代理主機將已轉址的使用者封包發送至主伺服器,使主伺服器依據已轉址的使用者封包所記載的第一指定代理主機的網際網路協定位址,將一回應先送至第一指定代理主機再轉傳回第一使用者裝置。
在本發明的一實施例中,自動代理方法更包含:在第一指定代理主機受到網路攻擊且據以通知控制器以後,透過控制器從複數個代理主機中選取另一者做為第二指定代理主機並將第二指定代理主機的網際網路協定位址做為主伺服器的對外網際網路協定位址;透過控制器進而與網域名稱系統溝通,使網域名稱系統更新主伺服器的網域名稱和第二指定代理主機的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,自動代理方法更包含:在網域名稱系統更新主伺服器的網域名稱和第二指定代理主機的網際網路協定位址相互對映的記錄以後,允許第一使用者裝置繼續透過第一指定代理主機於主伺服器存取服務,當第二使用者裝置發送關於主伺服器的網域名稱的查詢請求給網域名稱系統時,透過網域名稱系統回傳第二指定代理主機的網際網路協定位址給第二使用者裝置,使第二使用者裝置透過第二指定代理主機於主伺服器存取服務。
在本發明的一實施例中,網路交換器電性連接複數個代理主機與負載平衡器,網路交換器與廣域網路建立通訊。自動代理方法更包含:當第一使用者裝置透過廣域網路與網路交換器將一第一封包發送給負載平衡器時,利用負載平衡器透過網路交換器將第一封包傳送給複數個代理主機中之一被選定的代理主機;利用被選定的代理主機將第一封包的來源網際網路協定位址從第一使用者裝置的網際網路協定位址變更為被選定的代理主機的網際網路協定位址並將第一封包的目標網際網路協定位址從負載平衡器的網際網路協定位址變更為主伺服器的網際網路協定位址以產生變更後的第一封包;利用被選定的代理主機透過網路交換器與廣域網路將變更後的第一封包發送給主伺服器;利用主伺服器透過廣域網路與網路交換器將第二封包發送給被選定的代理主機;利用被選定的代理主機將第二封包的來源網際網路協定位址從主伺服器的網際網路協定位址變更為負載平衡器的網際網路協定位址並將第二封包的目標網際網路協定位址從被選定的代理主機的網際網路協定位址變更為第一使用者裝置的網際網路協定位址以產生變更後的第二封包;利用被選定的代理主機透過網路交換器與廣域網路將變更後的第二封包發送給第一使用者裝置。
綜上所述,本發明之技術方案與現有技術相比具有明顯的優點和有益效果。藉由本發明的自動代理系統及自動代理方法,讓伺服器有效地避免網路攻擊。
以下將以實施方式對上述之說明作詳細的描述,並對本發明之技術方案提供更進一步的解釋。
為了使本發明之敘述更加詳盡與完備,可參照所附之圖式及以下所述各種實施例,圖式中相同之號碼代表相同或相似之元件。另一方面,眾所週知的元件與步驟並未描述於實施例中,以避免對本發明造成不必要的限制。
請參照第1、2圖,本發明之技術態樣是一種自動代理系統100,其可應用在電腦,或是廣泛地運用在相關之技術環節。本技術態樣之自動代理系統100可達到相當的技術進步,並具有産業上的廣泛利用價值。以下將搭配第1、2圖來說明自動代理系統100之具體實施方式。
應瞭解到,自動代理系統100的多種實施方式搭配第1圖進行描述。於以下描述中,為了便於解釋,進一步設定許多特定細節以提供一或多個實施方式的全面性闡述。然而,本技術可在沒有這些特定細節的情況下實施。於其他舉例中,為了有效描述這些實施方式,已知結構與裝置以方塊圖形式顯示。此處使用的「舉例而言」的用語,以表示「作為例子、實例或例證」的意思。此處描述的作為「舉例而言」的任何實施例,無須解讀為較佳或優於其他實施例。
第1圖是依照本發明一實施例之一種自動代理系統100於正常使用場景的方塊圖。如第1圖所示,自動代理系統100包含代理主機群110以及控制器130。在架構上,代理主機群110與控制器130建立通訊。應瞭解到,於實施方式與申請專利範圍中,涉及『通訊』之描述,其可泛指一元件透過其他元件而間接與另一元件進行有線與/或無線通訊,或是一元件無須透過其他元件而實體連接至另一元件。舉例而言,代理主機群110可透過其他元件而間接與控制器130進行有線與/或無線通訊,或是代理主機群110無須透過其他元件而實體連線至控制器130,熟習此項技藝者應視當時需要彈性選擇之。
於第1圖中,代理主機群110包含代理主機111、112、113。實作上,舉例而言,代理主機111、112、113均可為電腦主機或類似硬體,控制器130可為電腦裝置、控制設備或類似裝置。另外,主伺服器120為主要提供服務的伺服器(如:網站伺服器…等)。
於自動代理系統100的部屬環境中,控制器130與代理主機111、112、113建立通訊,控制器130從代理主機111、112、113中選取一者做為第一指定代理主機(如:代理主機112)並將第一指定代理主機(如:代理主機112)的網際網路協定位址(IP address)做為主伺服器120的對外網際網路協定位址,控制器130進而與網域名稱系統140(如:網域名稱系統伺服器)溝通,使網域名稱系統140更新主伺服器120的網域名稱和第一指定代理主機的網際網路協定位址相互對映的記錄。藉此,主伺服器120真實的網際網路協定位址不會曝光。
參照第1圖,於正常使用場景,若使用者欲於第一使用者裝置190輸入主伺服器120的網域名稱(如:網址)以經由網路來存取主伺服器120的服務,在本發明的一實施例中,當第一使用者裝置190發送關於主伺服器120的網域名稱的查詢請求給網域名稱系統140時,網域名稱系統140回傳第一指定代理主機(如:代理主機112)的網際網路協定位址給第一使用者裝置190,使第一使用者裝置190透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務。
另一方面,在本發明的一實施例中,當第一指定代理主機(如:代理主機112)檢測第一使用者裝置190所傳送的使用者封包以後,第一指定代理主機(如:代理主機112)動態地新增第一使用者裝置190的網際網路協定位址進入防火牆白名單。
實作上,舉例而言,第一指定代理主機(如:代理主機112)可執行布隆過濾器(Bloom filter),用於認證新連線是否為正常使用者。在正常使用者透過第一使用者裝置190在請求連線至主伺服器120以後,由於網域名稱系統140已記錄主伺服器120的對外網際網路協定位址為第一指定代理主機(如:代理主機112)的網際網路協定位址,當第一使用者裝置190未接受到主伺服器120回應的封包時,會重複發送一樣的封包至第一指定代理主機(如:代理主機112)。布隆過濾器可以協助快速標記/查詢,讓正常使用者可以通過驗證;舉例而言,當使用者的第一使用者裝置190第一次進入第一指定代理主機(如:代理主機112)時,第一指定代理主機(如:代理主機112)將第一使用者裝置190的使用者封包(如:請求連線的封包)的來源網際網路協定位址(source IP)和來源埠(source port )放入布隆過濾器的標記點,接下來,當使用者的第一使用者裝置190再次發送相同的使用者封包至第一指定代理主機(如:代理主機112)時,第一指定代理主機(如:代理主機112)查詢對應的標記點,若再次發送的使用者封包的來源網際網路協定位址和來源埠符合對應的標記點所記錄的來源網際網路協定位址和來源埠,第一指定代理主機(如:代理主機112)判定第一使用者裝置190通過驗證,從而將動態地新增第一使用者裝置190的網際網路協定位址進入防火牆白名單。
或者或再者,實作上,舉例而言,在第一指定代理主機(如:代理主機112)判定第一使用者裝置190通過驗證以後,第一指定代理主機(如:代理主機112)回傳認可請求連線的封包給第一使用者裝置190,使第一使用者裝置190相應地傳送確認封包給第一指定代理主機(如:代理主機112),藉此,第一指定代理主機(如:代理主機112)與第一使用者裝置190先完成握手確認。接下來,第一指定代理主機(如:代理主機112)發送請求連線的封包給主伺服器120,主伺服器120回傳認可請求連線的封包給第一指定代理主機(如:代理主機112),使第一指定代理主機(如:代理主機112)相應地傳送確認封包給主伺服器120,藉此,第一指定代理主機(如:代理主機112)與主伺服器120再完成握手確認。然後,第一使用者裝置190透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務。如此一來,若網路攻擊持續發生時,第一指定代理主機(如:代理主機112)啟動前述機制,以保護主伺服器120的安全。
於正常使用場景,在本發明的一實施例中,在第一指定代理主機(如:代理主機112)收到使用者封包以後,第一指定代理主機(如:代理主機112)將使用者封包進行網際網路協定轉址以得出已轉址的使用者封包,使已轉址的使用者封包記載第一指定代理主機(如:代理主機112)的網際網路協定位址,第一指定代理主機(如:代理主機112)將已轉址的使用者封包發送至主伺服器120,使主伺服器120依據已轉址的使用者封包所記載的第一指定代理主機(如:代理主機112)的網際網路協定位址,將一回應先送至第一指定代理主機(如:代理主機112)再轉傳回第一使用者裝置190。
實作上,舉例而言,上述回應可為回應封包,主伺服器120將回應封包先送至第一指定代理主機(如:代理主機112),第一指定代理主機(如:代理主機112)將回應封包進行網際網路協定轉址以得出已轉址的回應封包,使已轉址的回應封包記載第一指定代理主機(如:代理主機112)的網際網路協定位址,第一指定代理主機(如:代理主機112)再將已轉址的回應封包轉傳回第一使用者裝置190。藉此,第一使用者裝置190無法得知主伺服器120真實的網際網路協定位址。
由於自動代理系統100將第一指定代理主機(如:代理主機112)的網際網路協定位址做為主伺服器120的對外網際網路協定位址,因此無論是正常使用者或駭客都無法取得主伺服器120真實的網際網路協定位址,即使駭客發動網路攻擊也會誤攻到第一指定代理主機(如:代理主機112),讓伺服器120巧妙地迴避網路攻擊。
第2圖是依照本發明一實施例之一種自動代理系統100於攻擊場景的方塊圖。如第2圖所示,第一指定代理主機(如:代理主機112)已受到網路攻擊280。
於攻擊場景,在本發明的一實施例中,在第一指定代理主機(如:代理主機112)受到網路攻擊280且據以通知控制器130以後,控制器130從代理主機111、112、113中選取另一者做為第二指定代理主機(如:代理主機113)並將第二指定代理主機(如:代理主機113)的網際網路協定位址做為主伺服器120的對外網際網路協定位址,控制器130進而與網域名稱系統140溝通,使網域名稱系統140更新主伺服器120的網域名稱和第二指定代理主機(如:代理主機113)的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,在網域名稱系統140更新主伺服器120的網域名稱和第二指定代理主機(如:代理主機113)的網際網路協定位址相互對映的記錄以後,原使用者的第一使用者裝置190不受網路攻擊280影響,第一使用者裝置190繼續透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務。實作上,舉例而言,第一指定代理主機(如:代理主機112)可依據上述防火牆白名單以允許第一使用者裝置190繼續透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務。
實作上,舉例而言,網路攻擊280通常是每一次透過偽造的網際網路協定位址發送攻擊封包就無後續,而正常的使用者封包會重複發送一到兩次。第一指定代理主機(如:代理主機112)可執行上述布隆過濾器將有發送重複性使用者封包的第一使用者裝置190的網際網路協定位址列入上述防火牆白名單,並快速過濾掉非重複性的攻擊封包。藉此,即使第一指定代理主機(如:代理主機112)遭受到網路攻擊280,第一使用者裝置190仍可以正常的透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務。
在網域名稱系統140更新主伺服器120的網域名稱和第二指定代理主機(如:代理主機113)的網際網路協定位址相互對映的記錄以後,若新使用者欲於第二使用者裝置290輸入主伺服器120的網域名稱以經由網路來存取主伺服器120的服務。在本發明的一實施例中,當第二使用者裝置290發送關於主伺服器120的網域名稱的查詢請求給網域名稱系統140時,網域名稱系統140回傳第二指定代理主機(如:代理主機113)的網際網路協定位址給第二使用者裝置290,使第二使用者裝置290透過第二指定代理主機(如:代理主機113)於主伺服器120存取服務。
於一控制實驗中,若省略代理主機群110與控制器130,將主伺服器120的數量設為多個,藉由多個主伺服器彼此之間進行資料同步,當任一主伺服器受到網路攻擊,更換至下一個主伺服器進行服務。然,此控制實驗中的主伺服器受到網路攻擊時,資料同步容易出現錯誤或缺漏,導致前述下一個主伺服器的服務出現問題或中斷。
於一控制實驗中,若省略代理主機群110與控制器130,網域名稱系統140記錄主伺服器120的網域名稱和主伺服器120真實的網際網路協定位址相互對映的關係,由使用者於第一使用者裝置190手動設定傳統的代理伺服器連線到主伺服器120。然,駭客仍可以透過此控制實驗中的網域名稱系統140輕易得知主伺服器120真實的網際網路協定位址,使得主伺服器120直接遭受攻擊。
為了進一步闡述代理主機111、112、113中每一者均可快速處理封包的機制,第3圖是依照本發明一實施例之一種代理主機300的方塊圖。實作上,舉例而言,代理主機300的架構可適用於代理主機111、112、113中任一者(如:上述第一指定代理主機、第二指定代理主機…等)。
如第3圖所示,代理主機300包含儲存裝置310、處理器320以及網路卡330。舉例而言,儲存裝置310可為硬碟、快閃儲存裝置或其他儲存媒介,處理器320可為中央處理器、微控制器或其他電路。
在架構上,儲存裝置310電性連接處理器320,處理器320電性連接網路卡330。應瞭解到,於實施方式與申請專利範圍中,涉及『電性連接』之描述,其可泛指一元件透過其他元件而間接電氣耦合至另一元件,或是一元件無須透過其他元件而直接電連結至另一元件。舉例而言,儲存裝置310可為內建儲存裝置直接電連結至處理器320,或是儲存裝置310可為外部儲存設備透過網路裝置間接連線至處理器320。
實作上,舉例而言,儲存裝置310儲存作業系統(如:Linux作業系統或其他作業系統)與資料平台開發套件(Data Plane Development Kit, DPDK),處理器320執行於資料平台開發套件,使作業系統的核心(kernel)主動輪詢(polling)網路卡330有無封包,藉以快速處理封包。
於一控制實驗中,若省略資料平台開發套件,則當網路卡330收到封包時,網路卡330發送通知訊號給作業系統的核心,作業系統的核心被動地從網路卡330接收封包的資料。然,前述控制實驗的處理封包的過程速度緩慢。
同時參照第2、3圖,實作上,舉例而言,代理主機300的架構套用在第一指定代理主機(如:代理主機112),使第一指定代理主機(如:代理主機112)得以快速處理封包。即使第一指定代理主機(如:代理主機112)遭到網路攻擊280,透過資料平台開發套件快速處理封包,從而加速協助上述過濾攻擊封包的機制。
為了對上述自動代理系統100所運行的自動代理方法做更進一步的闡述,請同時參照第1~4圖,第4圖是依照本發明一實施例之一種自動代理方法400的流程圖。如第2圖所示,自動代理方法400包含步驟S401、S402(應瞭解到,在本實施例中所提及的步驟,除特別敘明其順序者外,均可依實際需要調整其前後順序,甚至可同時或部分同時執行)。
自動代理方法400可以採用非暫態電腦可讀取記錄媒體上的電腦程式產品的形式,此電腦可讀取記錄媒體具有包含在介質中的電腦可讀取的複數個指令。適合的記錄媒體可以包括以下任一者:非揮發性記憶體,例如:唯讀記憶體(ROM)、可程式唯讀記憶體(PROM)、可抹拭可程式唯讀記憶體(EPROM)、電子抹除式可程式唯讀記憶體(EEPROM);揮發性記憶體,例如:靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、雙倍資料率隨機存取記憶體(DDR-RAM);光學儲存裝置,例如:唯讀光碟(CD-ROM)、唯讀數位多功能影音光碟(DVD-ROM);磁性儲存裝置,例如:硬碟機、軟碟機。
於步驟S401,透過控制器130從複數個代理主機111、112、113中選取一者做為第一指定代理主機(如:代理主機112)並將第一指定代理主機(如:代理主機112)的網際網路協定位址做為主伺服器120的對外網際網路協定位址。於步驟S402,透過控制器130進而與網域名稱系統140溝通,使網域名稱系統140更新主伺服器120的網域名稱和第一指定代理主機(如:代理主機112)的網際網路協定位址相互對映的記錄。藉此,主伺服器120真實的網際網路協定位址不會曝光。
在本發明的一實施例中,自動代理方法400更包含:當第一使用者裝置190發送關於主伺服器120的網域名稱的查詢請求給網域名稱系統140時,透過網域名稱系統140回傳第一指定代理主機(如:代理主機112)的網際網路協定位址給第一使用者裝置190,使第一使用者裝置190透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務;當第一指定代理主機(如:代理主機112)檢測第一使用者裝置190所傳送的使用者封包以後,透過第一指定代理主機(如:代理主機112)動態地新增第一使用者裝置190的網際網路協定位址進入防火牆白名單。
在本發明的一實施例中,自動代理方法400更包含:在第一指定代理主機(如:代理主機112)收到使用者封包以後,透過第一指定代理主機(如:代理主機112)將使用者封包進行網際網路協定轉址以得出已轉址的使用者封包,使已轉址的使用者封包記載第一指定代理主機(如:代理主機112)的網際網路協定位址;透過第一指定代理主機(如:代理主機112)將已轉址的使用者封包發送至主伺服器120,使主伺服器120依據已轉址的使用者封包所記載的第一指定代理主機(如:代理主機112)的網際網路協定位址,將一回應先送至第一指定代理主機(如:代理主機112)再轉傳回第一使用者裝置190。
在本發明的一實施例中,自動代理方法400更包含:在第一指定代理主機(如:代理主機112)受到網路攻擊280且據以通知控制器130以後,透過控制器130從複數個代理主機111、112、113中選取另一者做為第二指定代理主機(如:代理主機113)並將第二指定代理主機(如:代理主機113)的網際網路協定位址做為主伺服器120的對外網際網路協定位址;透過控制器130進而與網域名稱系統140溝通,使網域名稱系統140更新主伺服器120的網域名稱和第二指定代理主機(如:代理主機113)的網際網路協定位址相互對映的記錄。
在本發明的一實施例中,自動代理方法400更包含:在網域名稱系統140更新主伺服器120的網域名稱和第二指定代理主機(如:代理主機113)的網際網路協定位址相互對映的記錄以後,允許第一使用者裝置190繼續透過第一指定代理主機(如:代理主機112)於主伺服器120存取服務,當第二使用者裝置290發送關於主伺服器120的網域名稱的查詢請求給網域名稱系統140時,透過網域名稱系統140回傳第二指定代理主機(如:代理主機113)的網際網路協定位址給第二使用者裝置290,使第二使用者裝置290透過第二指定代理主機(如:代理主機113)於主伺服器120存取服務。
第5圖是依照本發明一實施例之一種自動代理系統500的方塊圖。於第5圖中,代理主機群510包含網路交換器511、負載平衡器512(如:電腦主機)以及代理主機111、112、113。在架構上,網路交換器511與廣域網路(WAN)520建立通訊,網路交換器511電性連接負載平衡器512以及代理主機111、112、113,藉由網路交換器511使得負載平衡器512以及代理主機111、112、113都在同一網域中。
在本發明的一實施例中,自動代理方法400更包含以下步驟。當第一使用者裝置190透過廣域網路520與網路交換器511將第一封包(如:使用者封包)發送給負載平衡器512時,負載平衡器512透過網路交換器511將第一封包傳送給代理主機111、112、113中之被選定的代理主機111。舉例而言,負載平衡器512可以從代理主機111、112、113中隨機選擇代理主機111,也可以根據預定規則將代理主機111指定為被選定的代理主機111。接下來,被選定的代理主機111將第一封包的來源網際網路協定位址從第一使用者裝置190的網際網路協定位址變更為被選定的代理主機111的網際網路協定位址並將第一封包的目標網際網路協定位址從負載平衡器512的網際網路協定位址變更為主伺服器120的網際網路協定位址以產生變更後的第一封包。接下來,被選定的代理主機111透過網路交換器511與廣域網路520將變更後的第一封包發送給主伺服器120。接下來,主伺服器120透過廣域網路520與網路交換器511將第二封包(如:回應封包)發送給被選定的代理主機111。接下來,被選定的代理主機111將第二封包的來源網際網路協定位址從主伺服器120的網際網路協定位址變更為負載平衡器512的網際網路協定位址並將第二封包的目標網際網路協定位址從被選定的代理主機111的網際網路協定位址變更為第一使用者裝置190的網際網路協定位址以產生變更後的第二封包。被選定的代理主機111透過網路交換器511與廣域網路520將變更後的第二封包發送給第一使用者裝置190。如此一來,負載平衡器512的網際網路協定位址可做為主伺服器120的對外網際網路協定位址,藉此,一般使用者與/或駭客均無從得知主伺服器120的真實網際網路協定位址。
綜上所述,本發明之技術方案與現有技術相比具有明顯的優點和有益效果。藉由本發明的自動代理系統100、500及自動代理方法400,讓伺服器120有效地避免網路攻擊280。
雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何熟習此技藝者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
為讓本發明之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附符號之說明如下 100:自動代理系統 110、510:代理主機群 111、112、113:代理主機 120:主伺服器 130:控制器 140:網域名稱系統 190:第一使用者裝置 280:網路攻擊 290:第二使用者裝置 300:代理主機 310:儲存裝置 320:處理器 330:網路卡 400:自動代理方法 S401、S402:步驟 511:網路交換器 512:負載平衡器 520:廣域網路
為讓本發明之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下: 第1圖是依照本發明一實施例之一種自動代理系統於正常使用場景的方塊圖; 第2圖是依照本發明一實施例之一種自動代理系統於攻擊場景的方塊圖; 第3圖是依照本發明一實施例之一種代理主機的方塊圖; 第4圖是依照本發明一實施例之一種自動代理方法的流程圖;以及 第5圖是依照本發明一實施例之一種自動代理系統的方塊圖。
400:自動代理方法
S401、S402:步驟

Claims (8)

  1. 一種自動代理系統,包含:複數個代理主機;一控制器,與該些代理主機建立通訊,該控制器從該些代理主機中選取一者做為一第一指定代理主機並將該第一指定代理主機的一網際網路協定位址(IP address)做為一主伺服器的一對外網際網路協定位址,該控制器進而與一網域名稱系統溝通,使該網域名稱系統更新該主伺服器的一網域名稱和該第一指定代理主機的該網際網路協定位址相互對映的記錄;一網路交換器,電性連接該些代理主機,該網路交換器與一廣域網路建立通訊;以及一負載平衡器,電性連接該網路交換器,其中當該第一使用者裝置透過該廣域網路與該網路交換器將一第一封包發送給該負載平衡器時,該負載平衡器透過該網路交換器將該第一封包傳送給該些代理主機中之一被選定的代理主機,該被選定的代理主機將該第一封包的一來源網際網路協定位址從該第一使用者裝置的一網際網路協定位址變更為該被選定的代理主機的一網際網路協定位址並將該第一封包的一目標網際網路協定位址從該負載平衡器的一網際網路協定位址變更為該主伺服器的一網際網路協定位址以產生一變更後的第一封包,該被選定的代理主機透過該網路交換器與該廣域網路將該變更 後的第一封包發送給該主伺服器,該主伺服器透過該廣域網路與該網路交換器將一第二封包發送給該被選定的代理主機,該被選定的代理主機將該第二封包的一來源網際網路協定位址從該主伺服器的該網際網路協定位址變更為該負載平衡器的該網際網路協定位址並將該第二封包的一目標網際網路協定位址從該被選定的代理主機的該網際網路協定位址變更為該第一使用者裝置的該網際網路協定位址以產生一變更後的第二封包,該被選定的代理主機透過該網路交換器與該廣域網路將該變更後的第二封包發送給該第一使用者裝置,其中當一第一使用者裝置發送關於該主伺服器的該網域名稱的查詢請求給該網域名稱系統時,該網域名稱系統回傳該第一指定代理主機的該網際網路協定位址給該第一使用者裝置,使該第一使用者裝置透過該第一指定代理主機於該主伺服器存取服務,當該第一指定代理主機檢測該第一使用者裝置所傳送的一使用者封包以後,該第一指定代理主機動態地新增該第一使用者裝置的一網際網路協定位址進入一防火牆白名單,該第一指定代理主機執行一布隆過濾器將有發送重複性使用者封包的該第一使用者裝置的該網際網路協定位址列入該防火牆白名單。
  2. 如請求項1所述之自動代理系統,其中在該第一指定代理主機收到該使用者封包以後,該第一指定代 理主機將該使用者封包進行網際網路協定轉址以得出一已轉址的使用者封包,使該已轉址的使用者封包記載該第一指定代理主機的該網際網路協定位址,該第一指定代理主機將該已轉址的使用者封包發送至該主伺服器,使該主伺服器依據該已轉址的使用者封包所記載的該第一指定代理主機的該網際網路協定位址,將一回應先送至該第一指定代理主機再轉傳回該第一使用者裝置。
  3. 如請求項1所述之自動代理系統,其中在該第一指定代理主機受到一網路攻擊且據以通知該控制器以後,該控制器從該些代理主機中選取另一者做為一第二指定代理主機並將該第二指定代理主機的一網際網路協定位址做為該主伺服器的該對外網際網路協定位址,該控制器進而與該網域名稱系統溝通,使該網域名稱系統更新該主伺服器的該網域名稱和該第二該指定代理主機的該網際網路協定位址相互對映的記錄。
  4. 如請求項3所述之自動代理系統,其中在該網域名稱系統更新該主伺服器的該網域名稱和該第二該指定代理主機的該網際網路協定位址相互對映的記錄以後,該第一使用者裝置繼續透過該第一指定代理主機於該主伺服器存取服務,當一第二使用者裝置發送關於該主伺服器的該網域名稱的查詢請求給該網域名稱系統時,該網域名稱系統回傳該第二指定代理主機的該網際網路協定位址給 該第二使用者裝置,使該第二使用者裝置透過該第二指定代理主機於該主伺服器存取服務。
  5. 一種自動代理方法,包含以下步驟:透過一控制器從複數個代理主機中選取一者做為一第一指定代理主機並將該第一指定代理主機的一網際網路協定位址做為一主伺服器的一對外網際網路協定位址;透過該控制器進而與一網域名稱系統溝通,使該網域名稱系統更新該主伺服器的一網域名稱和該第一指定代理主機的該網際網路協定位址相互對映的記錄,其中一網路交換器電性連接該些代理主機與一負載平衡器,該網路交換器與一廣域網路建立通訊;當該第一使用者裝置透過該廣域網路與該網路交換器將一第一封包發送給該負載平衡器時,利用該負載平衡器透過該網路交換器將該第一封包傳送給該些代理主機中之一被選定的代理主機;利用該被選定的代理主機將該第一封包的一來源網際網路協定位址從該第一使用者裝置的一網際網路協定位址變更為該被選定的代理主機的一網際網路協定位址並將該第一封包的一目標網際網路協定位址從該負載平衡器的一網際網路協定位址變更為該主伺服器的一網際網路協定位址以產生一變更後的第一封包;利用該被選定的代理主機透過該網路交換器與該廣域網路將該變更後的第一封包發送給該主伺服器; 利用該主伺服器透過該廣域網路與該網路交換器將一第二封包發送給該被選定的代理主機;利用該被選定的代理主機將該第二封包的一來源網際網路協定位址從該主伺服器的該網際網路協定位址變更為該負載平衡器的該網際網路協定位址並將該第二封包的一目標網際網路協定位址從該被選定的代理主機的該網際網路協定位址變更為該第一使用者裝置的該網際網路協定位址以產生一變更後的第二封包;利用該被選定的代理主機透過該網路交換器與該廣域網路將該變更後的第二封包發送給該第一使用者裝置;當一第一使用者裝置發送關於該主伺服器的該網域名稱的查詢請求給該網域名稱系統時,透過該網域名稱系統回傳該第一指定代理主機的該網際網路協定位址給該第一使用者裝置,使該第一使用者裝置透過該第一指定代理主機於該主伺服器存取服務;以及當該第一指定代理主機檢測該第一使用者裝置所傳送的一使用者封包以後,透過該第一指定代理主機動態地新增該第一使用者裝置的一網際網路協定位址進入一防火牆白名單,該第一指定代理主機執行一布隆過濾器將有發送重複性使用者封包的該第一使用者裝置的該網際網路協定位址列入該防火牆白名單。
  6. 如請求項5所述之自動代理方法,更包含:在該第一指定代理主機收到該使用者封包以後,透過 該第一指定代理主機將該使用者封包進行網際網路協定轉址以得出一已轉址的使用者封包,使該已轉址的使用者封包記載該第一指定代理主機的該網際網路協定位址;以及透過該第一指定代理主機將該已轉址的使用者封包發送至該主伺服器,使該主伺服器依據該已轉址的使用者封包所記載的該第一指定代理主機的該網際網路協定位址,將一回應先送至該第一指定代理主機再轉傳回該第一使用者裝置。
  7. 如請求項5所述之自動代理方法,更包含:在該第一指定代理主機受到一網路攻擊且據以通知該控制器以後,透過該控制器從該些代理主機中選取另一者做為一第二指定代理主機並將該第二指定代理主機的一網際網路協定位址做為該主伺服器的該對外網際網路協定位址;以及透過該控制器進而與該網域名稱系統溝通,使該網域名稱系統更新該主伺服器的該網域名稱和該第二該指定代理主機的該網際網路協定位址相互對映的記錄。
  8. 如請求項7所述之自動代理方法,更包含:在該網域名稱系統更新該主伺服器的該網域名稱和該第二該指定代理主機的該網際網路協定位址相互對映的記錄以後,允許該第一使用者裝置繼續透過該第一指定 代理主機於該主伺服器存取服務,當一第二使用者裝置發送關於該主伺服器的該網域名稱的查詢請求給該網域名稱系統時,透過該網域名稱系統回傳該第二指定代理主機的該網際網路協定位址給該第二使用者裝置,使該第二使用者裝置透過該第二指定代理主機於該主伺服器存取服務。
TW111139333A 2022-02-22 2022-10-17 自動代理系統及自動代理方法 TWI852130B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
TW111106446 2022-02-22
TW111106446 2022-02-22
US17/819,323 US12500866B2 (en) 2022-02-22 2022-08-12 Automatic proxy system, automatic proxy method and non-transitory computer readable medium
US17/819,323 2022-08-12

Publications (2)

Publication Number Publication Date
TW202335474A TW202335474A (zh) 2023-09-01
TWI852130B true TWI852130B (zh) 2024-08-11

Family

ID=87575103

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111139333A TWI852130B (zh) 2022-02-22 2022-10-17 自動代理系統及自動代理方法

Country Status (2)

Country Link
US (1) US12500866B2 (zh)
TW (1) TWI852130B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6829638B1 (en) * 2000-08-03 2004-12-07 International Business Machines Corporation System and method for managing multiple proxy servers
US20120066371A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. Server Load Balancer Scaling for Virtual Servers
US20200322374A1 (en) * 2012-08-07 2020-10-08 Cloudflare, Inc. Identifying a Denial-of-Service Attack in a Cloud-Based Proxy Service

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8990356B2 (en) * 2011-10-03 2015-03-24 Verisign, Inc. Adaptive name resolution
US9894033B2 (en) * 2014-08-04 2018-02-13 Fortinet, Inc. DNS-enabled communication between heterogeneous devices
KR101688635B1 (ko) * 2015-07-01 2016-12-21 한국전자통신연구원 플로우 기반 트래픽 저장 장치 및 방법
US9973600B2 (en) * 2016-05-04 2018-05-15 Secureworks Corp. System and methods for scalable packet inspection in cloud computing
US10904288B2 (en) * 2017-04-18 2021-01-26 Perspecta Labs Inc. Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
US11863528B1 (en) * 2018-06-07 2024-01-02 Amazon Technologies, Inc. Glue layer that abstracts dynamic endpoints to static endpoints
US11115404B2 (en) * 2019-06-28 2021-09-07 Amazon Technologies, Inc. Facilitating service connections in serverless code executions
TWI757207B (zh) * 2021-07-02 2022-03-01 瑞昱半導體股份有限公司 不完全比對的資料流處理方法與系統
CN113726872B (zh) * 2021-08-27 2022-12-06 北京百度网讯科技有限公司 一种推广信息的过滤方法、装置、设备及介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6829638B1 (en) * 2000-08-03 2004-12-07 International Business Machines Corporation System and method for managing multiple proxy servers
US20120066371A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. Server Load Balancer Scaling for Virtual Servers
US20200322374A1 (en) * 2012-08-07 2020-10-08 Cloudflare, Inc. Identifying a Denial-of-Service Attack in a Cloud-Based Proxy Service

Also Published As

Publication number Publication date
US12500866B2 (en) 2025-12-16
US20230269236A1 (en) 2023-08-24
TW202335474A (zh) 2023-09-01

Similar Documents

Publication Publication Date Title
US10581907B2 (en) Systems and methods for network access control
US7039721B1 (en) System and method for protecting internet protocol addresses
JP4327630B2 (ja) インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
US10270782B2 (en) Virtual desktopaccess control
CN104967609B (zh) 内网开发服务器访问方法、装置及系统
CN103634786B (zh) 一种无线网络的安全检测和修复的方法与系统
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
US20080140836A1 (en) Computer management server in remote access environment
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
US12549553B2 (en) Controller-based system for controlling network access, and method therefor
WO2011020254A1 (zh) 防范网络攻击的方法和装置
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
WO2025241763A1 (zh) 网络地址转换设备的探测方法、装置、设备和介质
US7631179B2 (en) System, method and apparatus for securing network data
TWI852130B (zh) 自動代理系統及自動代理方法
US10057210B2 (en) Transaction-based network layer address rotation
CN110943962A (zh) 一种认证方法、网络设备和认证服务器以及转发设备
TWM541160U (zh) 網路封鎖設備以及電腦可讀取儲存媒體
CN107241297A (zh) 通信拦截方法及装置、服务器
CN102984163A (zh) 控制同一ip地址的多个主机访问网络的方法及系统
WO2024045542A1 (zh) 一种分布式拒绝服务攻击ddos的防误杀方法及装置
CN108282786A (zh) 一种用于检测无线局域网中dns欺骗攻击的方法与设备
US20170289099A1 (en) Method and Device for Managing Internet Protocol Version 6 Address, and Terminal
JP5994459B2 (ja) 情報処理装置、通信制御方法及び通信制御プログラム
TWI406545B (zh) Linux系統下的多路徑訪問遠端邏輯設備的方法