[发明专利]一种通过修改网络数据包实现网站更新的方法

说明书

本发明涉及一种通过修改网络数据包实现网站更新的方法。通过仲裁系统将管理员IP的请求网络数据包端口改成了高权限进程的端口，而非管理员IP的请求原封不动地到达低权限网站进程，所以当非法用户无论通过何种方式尝试更新网站时，相关请求所处的低权限进程所拥有的权限将无法对网站目录进行写入操作，也就无法执行非法更新；而当管理员用户尝试更新网站时，相关请求所处的高权限进程将有足够的权限能够对网站目录或者备份目录进行写入操作，进而成功更新网站。本发明使得非法用户无法更新篡改网站内容，提升了更新网站的安全性。

技术领域

本发明属于信息安全软件领域，特别涉及一种通过修改网络数据包实现网站更新的方法。

背景技术

网站发布之后，为了保持访问量、SEO优化等，网站也会随着更新。

一般情况，网站有一个通过用户名和密码验证的管理后台，任何人掌握网站管理后台的用户名和密码后就能更新网站。

如果由于各种原因导致网站管理后台的用户名和密码泄露，就会导致网站被非法更新，出现“网站被黑”的情况。

再者，黑客也可以通过SQL注入等攻击方式在网站目录中植入后门（webshell）来绕过网站管理后台，然后通过webshell来非法更新网站。

发明内容

本发明的目的在于克服现有技术存在缺陷，提供一种通过修改网络数据包实现网站更新的方法。

为实现上述目的，本发明的技术方案是：一种通过修改网络数据包实现网站更新的方法，包括如下步骤：

步骤S1、搭建一个仲裁系统，该仲裁系统具有：

捕获并修改进栈网络数据包：根据源IP和目的端口修改进栈网络数据包的目的端口；

捕获并修改出栈网络数据包：根据源端口修改出栈网络数据包的源端口；

步骤S2、配置所述仲裁系统：

源IP：设置管理员IP；

目的端口：设置为低权限进程的端口；

新目的端口：设置为高权限进程的端口；

步骤S3、当非法用户或者管理员尝试更新站点，请求发送到所述仲裁系统；

步骤S4、当所述仲裁系统收到网络数据包时：

对于进栈网络数据包：若源IP与步骤S2配置的源IP相同，而且目的端口与步骤S2配置的目的端口相同，则把目的端口修改为步骤S2配置的新目的端口；否则，不修改目的端口；

对于出栈网络数据包：若源端口与步骤S2配置的新目的端口相同，则把源端口修改为步骤S2配置的目的端口。

在本发明一实施例中，所述高权限进程为进程P3、进程P4，所述低权限进程为进程P2，进程P2、进程P3、进程P4均为网站系统，初始时进程P2、进程P3、进程P4的内容和数据完全一致，进程P2和进程P3对应同一个网站目录；进程P4对应备份目录，备份目录从网站目录复制得来；进程P2的进程用户名是U1，对网站目录只有读的权限，无法写；进程P3的进程用户名是U2，对网站目录有读、写权限；进程P4的进程用户名是U3，对备份目录有读、写的权限；进程P4把更新网站操作写入到备份目录，然后通过文件同步把文件同步更新到网站目录。

在本发明一实施例中，进程P3和进程P4至少存在一个。

在本发明一实施例中，步骤S1中，所述仲裁系统对不符合修改规则的网络数据包一律跳过不处理。