一种基于动态IP切换的服务器保护方法及装置

一种基于动态ip切换的服务器保护方法及装置
技术领域
1.本发明涉及电子信息安全技术领域，尤其涉及一种基于动态ip切换的服务器保护方法及装置。


背景技术：

2.随着新兴技术的不断发展，现在网络黑客已经将攻击服务化，推出了所谓的haas(黑客即服务)，使得黑客的威胁永远存在。在现有技术中，应对这种潜踪匿迹和持久化攻击手段的主要方法是网络欺骗防御，也称蜜罐技术。蜜罐技术本质上是一种欺骗攻击者的手段，蜜罐可以部署在设备或蜜点服务器上，用于收集网络节点攻击信息，分担相同网段服务器资源所受到的攻击，通过设置作为诱饵的主机、信息、服务，来引诱攻击者进入陷阱，从而增加恶意流量的攻击成本并捕获攻击行为以了解攻击手段、方法和意图。但是，现有技术仍存在如下缺陷：由于缺乏常规业务访问，攻击者可以基于行为模式判别一个蜜罐系统，进而绕开蜜罐系统的行为诱捕，同时蜜罐系统与被保护的真实业务服务器不存在业务关联，不能改变被保护服务器本身的防御机制，如果攻击者定位到真实业务服务器，蜜罐将起不到任何防御作用。


技术实现要素：

3.本发明的目的在于提供一种基于动态ip切换的服务器保护方法及装置，以解决现有的蜜罐技术网络防御方法存在的蜜罐系统被发现的风险问题，进而无法诱捕恶意攻击流量进入蜜罐系统的问题。
4.本发明一实施例提供一种基于动态ip切换的服务器保护方法，具体为：获取用户发送的业务请求，并解析所述业务请求的用户ip地址；
5.当确定所述用户ip地址在预设的白名单内时，向dns服务器请求返回真实服务器的第一实时ip地址；其中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的；
6.根据所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息；其中，所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换；
7.将所述第一业务请求反馈信息发送给所述用户；
8.当确定所述用户ip地址在预设的黑名单内时，向dns服务器请求返回任一蜜点服务器的第二实时ip地址；所述第二实时ip地址是由dns服务器根据其他轮播周期而确定；
9.根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息；
10.将所述第二业务请求反馈信息发送给所述用户。
11.本发明实施例通过使用动态ip地址，接收用户访问请求，解析用户ip地址,用不同ip地址请求dns服务器，使恶意攻击流量不能直接与真实服务器进行连接，同时按周期轮播
ip地址，真实服务器根据其变化变更ip地址，有效避免恶意攻击流量直接定位到真实服务器地址从而导致正常业务信息数据泄露；通过动态ip地址变换，引入恶意攻击流量进入蜜点服务器，避免攻击流量判别蜜点服务器从而绕开蜜罐系统的行为捕获。
12.作为上述方案的改进，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址；所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。
13.作为上述方案的改进，所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，具体为：
14.判断所述第一实时ip地址是否与存储的真实服务器ip地址相同；
15.若相同，则继续使用已有连接通道与真实服务器进行数据传输，将接收到的业务反馈发送至所述用户；
16.若不相同，关闭旧连接通道，建立与真实服务器的新连接通道并进行数据传输，将接收到的业务反馈至所述用户。
17.上述改进的有益效果为：与正常业务请求的连接仅受到dns服务器的解析速度和重新建立连接的影响，正常状态下不会影响到连接数据运输。
18.作为上述方案的改进，所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换，具体为：
19.所述dns服务器根据轮播周期和所述ip地址集合中各ip地址的映射关系，确定在当前轮播周期下真实服务器的ip地址，以及各蜜点服务器的ip地址；其中，在同一轮播周期下真实服务器的ip地址与各蜜点服务器的ip地址均不相同；
20.所述dns服务器将当前轮播周期下真实服务器的ip地址发送给真实服务器，以使所述真实服务器根据接收到的ip地址进行地址切换；
21.所述dns服务器将当前轮播周期下各蜜点服务器的ip地址，分别发送给各蜜点服务器，以使各蜜点服务器根据接收到的ip地址进行地址切换。
22.上述改进的有益效果为：当恶意攻击流量直接攻击到真实服务器时，真实服务器的ip地址会跟随dns服务器轮播而变化，下一周期时连接失效，有效防止恶意攻击流量长期潜伏攻击。
23.作为上述方案的改进，所述真实服务器被配置为禁止外部用户通过ip地址进行直接访问。
24.作为上述方案的改进，所述第二实时ip地址是由dns服务器根据其他轮播周期而确定，向dns服务器请求返回服务器群中任一蜜点服务器ip地址。
25.作为上述方案的改进，所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息，具体为：
26.蜜点服务器收到所诉业务请求后，触发部署的蜜罐分析模块，生成第二业务请求反馈信息；其中，第二业务请求反馈信息包括仿真响应、子黑名单。
27.作为上述方案的改进，将所述第二业务请求反馈信息发送给所述用户，具体为：
28.接收第二业务请求反馈信息，转发仿真响应至所述访问用户，建立用户与蜜点服务器连接；以子黑名单为基础，更新黑名单信息。
29.上述改进的有益效果为：弥补了仅能限制黑名单ip地址进行访问的缺陷，可以与蜜点服务器进行配合诱捕恶意攻击流量，延长蜜点服务器解析恶意攻击行为的时间，提高保护能力。
30.本发明另一实施例对应提供了一种服务器保护装置，包括：解析模块、请求模块、发送模块和响应模块；
31.其中，解析模块用于获取用户发送的业务请求，并解析所述业务请求中的用户ip地址；
32.当所述解析模块确定所述用户ip地址在预设的白名单内时，所述请求模块用于向dns服务器请求返回真实服务器的第一实时ip地址；其中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的；
33.所述发送模块根据所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息；其中，所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换；
34.所述响应模块用于将所述第一业务请求反馈信息发送给所述用户；
35.当所述解析模块确定所述用户ip地址在预设的黑名单内时，所述请求模块用于向dns服务器请求返回任一蜜点服务器的第二实时ip地址；所述第二实时ip地址是由dns服务器根据其他轮播周期而确定；
36.所述发送模块还用于根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息；
37.所述响应模块还用于将所述第二业务请求反馈信息发送给所述用户。
38.作为上述方案的改进，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址；
39.所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。
附图说明
40.图1是本发明一实施例提供的一种基于动态ip切换的服务器保护方法的流程示意图；
41.图2是本发明一实施例提供的双网卡请求机制的一种实施例的结构示意图；
42.图3是本发明一实施例提供的第一种信息交互的一种实施例的结构示意图；
43.图4是本发明一实施例提供的第二种信息交互的一种实施例的结构示意图；
44.图5是本发明一实施例提供的网段连接的一种实施例的结构示意图；
45.图6是本发明一实施例提供的轮播功能的一种实施例的结构示意图；
46.图7是本发明一实施例提供的基于网卡启停的动态ip切换方法的一种实施例的结构示意图；
47.图8是本发明一实施例提供的基于网卡启停的动态ip切换方法的一种实施例的流程示意图；
48.图9是本发明一实施例提供的禁止ip直接访问的一种实施例的流程示意图；
49.图10是本发明一实施例提供的恶意攻击用户访问的一种实施例的流程示意图；
50.图11是本发明一实施例提供的一种基于动态ip切换的服务器保护装置的结构示意图。
具体实施方式
51.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
52.具体实施例一
53.参照图1，是本发明一实施例提供的一种基于动态ip切换的服务器保护方法的流程示意图，包括s10-s30：
54.s10:获取用户发送的业务请求，并解析所述业务请求中的用户ip地址。
55.作为本实施例的一种举例，设置了代理服务器去接收用户发送的业务请求，业务请求所需的数据连接需通过代理服务器建立，从而减少真实服务器被直接定位攻击，保护真实服务器正常业务及数据信息的安全。
56.s20:判断所述用户ip地址是否在黑名单；
57.所述黑名单用于存放已知为恶意访问用户的ip地址的信息，设置黑名单可有效阻挡已被认定为恶意攻击的访问，提高安全性。
58.s21:当确定所述用户ip地址在预设的白名单内时，向dns服务器请求返回真实服务器的第一实时ip地址；
59.所述第一实时ip地址具体为真实服务器当前根据dns服务器所得到，由于真实服务器会动态切换ip地址，代理服务器需得到第一实时ip地址信息，才能够将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息。
60.其中所述第一业务请求反馈信息为正常业务响应，真实服务器在收到代理服务器请求后才能有所响应，避免了攻击者直接连接真实服务器进行潜伏业务连接后再发起攻击，降低了被潜伏攻击的威胁。
61.在本实施例中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的。所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换。
62.所诉蜜点服务器中部署了蜜罐分析模块，所述蜜罐分析模块是一种诱饵，它可以部署在设备或蜜点服务器上，并用于收集网络节点攻击情报，同时分担相同网段服务器资源所受到的攻击。
63.在本实施例中，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址。
64.作为本实施例的一种举例，参考图2，图2为本发明提供的双网卡请求机制的一种实施例的结构示意图，代理服务器预设了双网卡——第一网卡、第二网卡，第一网卡用请求返回真实服务器的第一实时ip地址，第二网卡请求返回任一蜜点服务器的第二实时ip地
址。由于代理服务器已识别出访问用户的ip地址，使用双网卡请求机制，配合dns服务器进行诱捕恶意攻击流量进入蜜点服务器，不进行流量转向，提高了欺骗攻击者的能力，攻击者不能轻易识别出该行为业务，提高了安全性能。
65.在本实施例中，根据第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，具体为：
66.判断所述第一实时ip地址是否与存储的真实服务器ip地址相同；
67.若相同，则继续使用已有连接通道与真实服务器进行数据传输，将接收到的业务反馈发送至所述用户；
68.参考图3，图3是本发明实施例提供的第一种信息交互的一种实施例的结构示意图，提供了使用已有连接通道与真实服务器进行数据传输的方法，如图3所示，代理服务器有新的请求到来时候请求解析地址，若解析的ip地址与已有连接所连接的服务器ip地址相同，反向代理会继续使用已有连接进行数据传输，而不是建立新的连接。
69.若不相同，关闭旧连接通道，建立与真实服务器的新连接通道并进行数据传输，将接收到的业务反馈至所述用户。参照图4，图4是本发明实施例提供的第二种信息交互的一种实施例的结构示意图，如果从dns服务器获得的第一实时ip地址和已有连接所连接的服务器ip地址不相同，那么如图4所示，代理服务器会关闭旧连接并建立新的连接，然后建立新的连接继续数据传输。该设计的性能只会受到解析dns的速度和重新建立连接的影响，由于都是使用dns服务器，正常状态下不会影响到连接数据运输。
70.进一步地，所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换，具体为：
71.所述dns服务器根据轮播周期和所述ip地址集合中各ip地址的映射关系，确定在当前轮播周期下真实服务器的ip地址，以及各蜜点服务器的ip地址；其中，在同一轮播周期下真实服务器的ip地址与各蜜点服务器的ip地址均不相同；
72.作为本发明实时例的一种具体举例，所诉ip地址集合由具体设置的服务器数量所确定，可参照图5，图5为本发明提供的网段连接的一种实施例的结构示意图，具体为一台服务器和三台蜜点服务器，则每台服务器装配四张网卡，每个服务器都有相同数量的网卡，分别连接同数量交换机，形成同样对应网段，同一时刻之中，每台服务器只启用一张网卡,并且每台服务器的网段不重复。
73.所述dns服务器将当前轮播周期下真实服务器的ip地址发送给真实服务器，以使所述真实服务器根据接收到的ip地址进行地址切换；
74.所述dns服务器将当前轮播周期下各蜜点服务器的ip地址，分别发送给各蜜点服务器，以使各蜜点服务器根据接收到的ip地址进行地址切换。
75.本实施例提供了一种具体的方式，参照图6，图6为本发明提供的轮播功能的一种实施例的结构示意图，如图6所示，dns服务器在脚本开启后随机选择所设定的ip地址作为第一实时ip地址，按写入设定的周期开始循环轮播，每次轮播的映射结果发送给真实服务器，真实服务器根据接收到的ip地址进行地址切换；蜜点服务器同时根据接收到的ip地址进行地址切换，规避当前ip地址与第一实时ip地址发生冲突。
76.进一步地，本实施例提供了一种具体的方式，参考图7和图8，图7为本发明提供的基于网卡启停的动态ip切换方法的一种实施例的结构示意图，图8为本发明提供的基于网
卡启停的动态ip切换方法的一种实施例的流程示意图，真实服务器判断当前的ip地址与接收到的ip地址若相同，保持原网卡开启；若不同，则关闭原网卡，开启指定网卡，所述蜜点服务器关闭当前网卡，开启上一时刻与真实服务器ip地址相同的网卡，其余蜜点服务器网卡状态保持不变，通过对应网卡启动和暂停到达ip地址的动态切换，增加了攻击者的攻击成本，有效地避免了现有技术中流量重定向可能被发现的风险。
77.进一步地，所述真实服务器被配置为禁止外部用户通过ip地址进行直接访问。
78.作为本发明实施例的一种具体举例，参照图，图9为本发明提供的禁止ip直接访问的一种实施例的流程示意图，假如攻击者手中掌握了真实服务器ip，没有选择域名访问，而是直接进行ip地址访问，真实服务器设置成是拒绝ip访问的，直接返回403访问页面，若是该用户再次尝试，因为该用户手中的ip地址并不会长时间驻留在真实服务器上，而是如图9所示，一个周期后真实服务器便会与任意一个蜜点服务器的ip地址进行置换。一个周期后，该用户手中的ip已经被蜜点服务器使用了，真实服务器用的是另一个ip地址，这样保证了即使真实服务器已被恶意用户攻击，不会持续长时间，同时不进行流量转向行为且能把恶意用户引至蜜点服务器，提高了保护方法的可靠性。
79.s31:将所述第一业务请求反馈信息发送给所述用户。
80.作为本发明提供的一种实施例的具体举例，代理服务器获得第一业务请求反馈后，转发至访问用户，响应用户的请求，保证了正常情况下业务进行传输的安全性。
81.s22:当确定所述用户ip地址在预设的黑名单内时，向dns服务器请求返回任一蜜点服务器的第二实时ip地址；
82.根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息。
83.作为本发明一种实施例的具体举例，如图10所示，图10为本发明提供的恶意攻击用户访问的一种实施例的流程示意图，代理服务器解析出用户的ip地址信息，且当确定所述用户ip地址在预设的黑名单内时，则已经可判断该访问用户为恶意攻击用户，如图9所示，本发明不是直接断开恶意访问用户连接，而采用了欺骗手段，请求获取第二实时ip地址，使恶意用户业务请求转发至蜜点服务器，其中，在本实施例中，所述第二实时ip地址是由dns服务器根据其他轮播周期而确定。所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。
84.本实施例提供了一种具体的方式，在dns服务器当前轮播地址即第一实时地址的网段位上添加两位，作为解析结果即第二实时地址返回。
85.在本实施例中，所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息，具体为：蜜点服务器收到所诉业务请求后，触发部署的蜜罐分析模块，生成第二业务请求反馈信息；其中，第二业务请求反馈信息包括仿真响应、子黑名单。由于多数攻击者既有识别常规业务行为的功能，第二业务请求反馈信息需包含仿真响应，以混淆其视线，尽量让攻击者以自己攻击真实服务器，从而让蜜点系统有足够时间进行分析。子黑名单配置于每个蜜点服务器，在蜜罐分析模块分析出攻击行为后，子黑名单添加该访问用户的ip地址信息。
86.进一步地，将所述第二业务请求反馈信息发送给所述用户，具体为：接收第二业务请求反馈信息，转发仿真响应至所述访问用户，建立用户与蜜点服务器连接；根据所述子黑
名单，更新存储的黑名单。
87.本实施例提供了一种具体的方式，接收到子黑名单，遍历子黑名单，对比其中信息于是否包含在黑名单中，若不包含，黑名单增加ip地址的信息。
88.s32:将所述第二业务请求反馈信息发送给所述用户。
89.本发明实施例通过使用动态ip地址，接收用户访问请求，解析用户ip地址,用不同ip地址请求dns服务器，使恶意攻击流量不能直接与真实服务器进行连接，同时按周期轮播ip地址，真实服务器根据其变化变更ip地址，有效避免恶意攻击流量直接定位到真实服务器地址从而导致正常业务信息数据泄露；通过动态ip地址变换，引入恶意攻击流量进入蜜点服务器，避免攻击流量判别蜜点服务器从而绕开蜜罐系统的行为捕获。
90.具体实施例二
91.除上述方法外，本发明实施例还公开了一种服务器保护装置。参见图11，另一实施例提供的一种基于动态ip切换的服务器保护装置的结构示意图，包括：解析模块201、请求模块202、发送模块203和响应模块204；
92.其中，解析模块201用于获取用户发送的业务请求，并解析所述业务请求中的用户ip地址；
93.当所述解析模块201确定所述用户ip地址在预设的白名单内时，所述请求模块202用于向dns服务器请求返回真实服务器的第一实时ip地址；其中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的；
94.所述发送模块203根据所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息；其中，所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换；
95.所述响应模块204用于将所述第一业务请求反馈信息发送给所述用户；
96.当所述解析模块201确定所述用户ip地址在预设的黑名单内时，所述请求模块202用于向dns服务器请求返回任一蜜点服务器的第二实时ip地址；所述第二实时ip地址是由dns服务器根据其他轮播周期而确定；
97.所述发送模块203还用于根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息；
98.所述响应模块204还用于将所述第二业务请求反馈信息发送给所述用户。
99.在本实施例中，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址；
100.所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。
101.在本实施例中，还包括所述根据第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，具体为：判断所述第一实时ip地址是否与存储的真实服务器ip地址相同；
102.若相同，则继续使用已有连接通道与真实服务器进行数据传输，将接收到的业务反馈发送至所述用户；
103.若不相同，关闭旧连接通道，建立与真实服务器的新连接通道并进行数据传输，将
接收到的业务反馈至所述用户。
104.在本实施例中，所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换，具体为：
105.所述dns服务器根据轮播周期和所述ip地址集合中各ip地址的映射关系，确定在当前轮播周期下真实服务器的ip地址，以及各蜜点服务器的ip地址；其中，在同一轮播周期下真实服务器的ip地址与各蜜点服务器的ip地址均不相同；
106.所述dns服务器将当前轮播周期下真实服务器的ip地址发送给真实服务器，以使所述真实服务器根据接收到的ip地址进行地址切换；
107.所述dns服务器将当前轮播周期下各蜜点服务器的ip地址，分别发送给各蜜点服务器，以使各蜜点服务器根据接收到的ip地址进行地址切换。
108.在本实施例中，还包括所述真实服务器根据接收到的ip地址进行地址切换，具体为：
109.所述真实服务器判断当前的ip地址与接收到的ip地址是否相同，若相同，保持原网卡开启；若不相同，则与当前时刻所占用dns服务器指定ip地址的蜜点服务器进行网卡切换。
110.在本实施例中，所述真实服务器被配置为禁止外部用户通过ip地址进行直接访问。
111.在本实施例中，所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息，具体为：
112.蜜点服务器收到所诉业务请求后，触发部署的蜜罐分析模块，生成第二业务请求反馈信息；其中，第二业务请求反馈信息包括仿真响应、子黑名单。
113.本发明更详细的工作原理与流程步骤可以但不限于参见于实施例1的相关记载。
114.由上可见，本发明实施例通过使用动态ip地址，接收用户访问请求，解析用户ip地址,用不同ip地址请求dns服务器，使恶意攻击流量不能直接与真实服务器进行连接，同时按周期轮播ip地址，真实服务器根据其变化变更ip地址，有效避免恶意攻击流量直接定位到真实服务器地址从而导致正常业务信息数据泄露；通过动态ip地址变换，引入恶意攻击流量进入蜜点服务器，避免攻击流量判别蜜点服务器从而绕开蜜罐系统的行为捕获。
115.其中，该技术通过dns服务器动态指定ip，调度真实服务器与蜜点服务器的网卡启动与暂停，实现真实服务器与蜜点服务器之间的ip切换，从而将恶意请求引导到蜜点服务器中，同时解决流量重定向被发现的风险；与正常业务请求的连接仅受到dns服务器的解析速度和重新建立连接的影响，正常状态下不会影响到连接数据运输；当恶意攻击流量直接攻击到真实服务器时，真实服务器的ip地址会跟随dns服务器轮播而变化，下一周期时连接失效，有效防止恶意攻击流量长期潜伏攻击；弥补了仅能限制黑名单ip地址进行访问的缺陷，可以与蜜点服务器进行配合诱捕恶意攻击流量，延长蜜点服务器解析恶意攻击行为的时间，提高保护能力。
116.其中，所述修改装置集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可
实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
117.需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的装置实施例附图中，单元之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

技术特征：
1.一种基于动态ip切换的服务器保护方法，其特征在于，包括：获取用户发送的业务请求，并解析所述业务请求的用户ip地址；当确定所述用户ip地址在预设的白名单内时，向dns服务器请求返回真实服务器的第一实时ip地址；其中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的；根据所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息；其中，所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换；将所述第一业务请求反馈信息发送给所述用户；当确定所述用户ip地址在预设的黑名单内时，向dns服务器请求返回任一蜜点服务器的第二实时ip地址；所述第二实时ip地址是由dns服务器根据其轮播周期而确定；根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息；将所述第二业务请求反馈信息发送给所述用户。2.根据权利要求1所述的基于动态ip切换的服务器保护方法，其特征在于，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址；所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。3.根据权利要求1所述的基于动态ip切换的服务器保护方法，其特征在于，所述根据第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，具体为：判断所述第一实时ip地址是否与存储的真实服务器ip地址相同；若相同，则继续使用已有连接通道与真实服务器进行数据传输，将接收到的业务反馈发送至所述用户；若不相同，关闭旧连接通道，建立与真实服务器的新连接通道并进行数据传输，将接收到的业务反馈至所述用户。4.根据权利要求1所述的基于动态ip切换的服务器保护方法，其特征在于，所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换，具体为：所述dns服务器根据轮播周期和所述ip地址集合中各ip地址的映射关系，确定在当前轮播周期下真实服务器的ip地址，以及各蜜点服务器的ip地址；其中，在同一轮播周期下真实服务器ip地址与各蜜点服务器的ip地址均不相同；所述dns服务器将当前轮播周期下真实服务器的ip地址发送给真实服务器，以使所述真实服务器根据接收到的ip地址进行地址切换；所述dns服务器将当前轮播周期下各蜜点服务器的ip地址，分别发送给各蜜点服务器，以使各蜜点服务器根据接收到的ip地址进行地址切换。5.根据权利要求4所述的基于动态ip切换的服务器保护方法，其特征在于，所述真实服务器根据接收到的ip地址进行地址切换，具体为：所述真实服务器判断当前的ip地址与接收到的ip地址是否相同，若相同，保持原网卡
开启；若不相同，则与当前时刻所占用dns服务器指定ip地址的蜜点服务器进行网卡切换。6.根据权利要求1所述的基于动态ip切换的服务器保护方法，其特征在于，所述真实服务器被配置为禁止外部用户通过ip地址进行直接访问。7.根据权利要求1所述的基于动态ip切换的服务器保护方法，其特征在于，所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息，具体为：蜜点服务器收到所诉业务请求后，触发部署的蜜罐分析模块，生成第二业务请求反馈信息；其中，第二业务请求反馈信息包括仿真响应、子黑名单。8.根据权利要求7所述的基于动态ip切换的服务器保护方法，其特征在于，将所述第二业务请求反馈信息发送给所述用户，具体为：接收第二业务请求反馈信息，转发仿真响应至所述访问用户，建立用户与蜜点服务器连接；根据所述子黑名单，更新存储的黑名单。9.一种服务器保护装置，其特征在于，包括：解析模块、请求模块、发送模块和响应模块；其中，解析模块用于获取用户发送的业务请求，并解析所述业务请求中的用户ip地址；当所述解析模块确定所述用户ip地址在预设的白名单内时，所述请求模块用于向dns服务器请求返回真实服务器的第一实时ip地址；其中，第一实时ip地址是由dns服务器根据当前轮播周期而确定的；所述发送模块根据所述第一实时ip地址，将所述业务请求发送给服务器组群中的真实服务器，以使所述真实服务器响应所述业务请求，生成第一业务请求反馈信息；其中，所述服务器组群包括至少一个真实服务器和至少一个蜜点服务器；所述服务器组群中各服务器的ip地址是由dns服务器根据轮播周期和预设ip地址集合进行动态切换；所述响应模块用于将所述第一业务请求反馈信息发送给所述用户；当所述解析模块确定所述用户ip地址在预设的黑名单内时，所述请求模块用于向dns服务器请求返回任一蜜点服务器的第二实时ip地址；所述第二实时ip地址是由dns服务器根据其他轮播周期而确定；所述发送模块还用于根据所述第二实时ip地址，将所述业务请求发送给对应的蜜点服务器，以使所述蜜点服务器响应所述业务请求，生成第二业务请求反馈信息；所述响应模块还用于将所述第二业务请求反馈信息发送给所述用户。10.根据权利要求9所述的一种服务器保护装置，其特征在于，所述向dns服务器请求返回真实服务器的第一实时ip地址，具体为：根据预设的第一网卡，向dns服务器请求返回真实服务器的第一实时ip地址；所述向dns服务器请求返回任一蜜点服务器的第二实时ip地址，具体为：根据预设的第二网卡，向dns服务器请求返回任一蜜点服务器的第二实时ip地址。

技术总结
本发明公开了一种基于动态IP切换的服务器保护方法及装置，通过使用动态IP地址，接收用户访问请求，解析用户IP地址,用不同IP地址请求DNS服务器，使恶意攻击流量不能直接与真实服务器进行连接，同时按周期轮播IP地址，真实服务器根据其变化变更IP地址，有效避免恶意攻击流量直接定位到真实服务器地址从而导致正常业务信息数据泄露；通过动态IP地址变换，引入恶意攻击流量进入蜜点服务器，避免攻击流量判别蜜点服务器从而绕开蜜罐系统的行为捕获。获。获。


技术研发人员：苏申 吴椿强 田志宏 鲁辉 孙彦斌 张成林
受保护的技术使用者：广州大学
技术研发日：2023.05.26
技术公布日：2023/8/1