網(wǎng)絡層ddos攻擊源識別方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡層DDOS攻擊源識別方法,包括:檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從第一服務器獲取DDOS攻擊包,提取DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值;向第二服務器發(fā)送包含攻擊源IP地址的探測指令;接收第二服務器根據(jù)探測指令返回的探測響應包,提取探測響應包中的探測源IP地址與探測源IP地址的TTL值;以及判斷攻擊源IP地址的TTL值與探測源IP地址的TTL值的差值是否大于預置值,若是,則確定攻擊源IP地址為偽造的IP地址,若否,則確定攻擊源IP地址為真實的IP地址。此外,本發(fā)明還提供一種網(wǎng)絡層DDOS攻擊源識別裝置及系統(tǒng)。上述網(wǎng)絡層DDOS攻擊源識別方法、裝置及系統(tǒng)可快速而有效地識別網(wǎng)絡層DDOS攻擊源。
【專利說明】
網(wǎng)絡層DDOS攻擊源識別方法、裝置及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機通信【技術領域】,尤其涉及一種網(wǎng)絡層DDOS攻擊源識別方法、裝置及系統(tǒng)。
【背景技術】
[0002]DOS (Denial of Service,拒絕服務)攻擊,是指一種可造成服務器無法提供正常服務的攻擊。最常見的DOS攻擊有網(wǎng)絡帶寬攻擊和連通性攻擊。其中帶寬攻擊指以極大的通信量沖擊網(wǎng)絡,使得所有可用網(wǎng)絡資源都被消耗殆盡,最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊服務器,使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終服務器無法再處理合法用戶的請求。
[0003]DDOS (Distributed Denial of Service,分布式拒絕服務)攻擊是指借助于客戶端/服務器技術,將多個客戶端聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DOS攻擊。通常,攻擊者使用一個偷竊帳號將DDOS主控程序安裝在一個客戶端上,主控程序在預設時間與大量安裝在互聯(lián)網(wǎng)上的多個客戶端中的多個代理程序進行通訊,利用客戶端/服務器技術,主控程序在幾秒鐘內激活成百上千次代理程序使其發(fā)動攻擊,從而可成倍地提高DOS攻擊的威力。
[0004]按攻擊所針對的網(wǎng)絡層次可以把DDOS攻擊分為網(wǎng)絡層DDOS (Net-DDOS)攻擊和App-DDOS攻擊。其中Net-DDOS攻擊主要是利用了現(xiàn)有的低層(包括IP層和TCP層)協(xié)議的漏洞來發(fā)動攻擊,典型的攻擊方式包括使用偽造IP地址的攻擊節(jié)點向目標主機發(fā)送大量攻擊分組,例如:TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)分組、ICMP(Internet Control Messages Protocol,因特網(wǎng)信報控制協(xié)議)分組、UDP (User DatagramProtocol,用戶數(shù)據(jù)報協(xié)議)分組等,利用TCP的三次握手機制使目標服務器為維護一個非常大的半開放連接列表而消耗非常多的CPU (Central Processing Unit,中央處理器)和內存資源,最終因為堆棧溢出而導致系統(tǒng)崩潰無法為正常用戶提供服務。網(wǎng)絡層DDOS攻擊基于其協(xié)議特性,在不需要與服務器建立可靠連接的情況下發(fā)送大量數(shù)據(jù)包,使得在攻擊溯源方面存在較大的難度。目前業(yè)界一般的方法是借助與運營商的合作,在城域網(wǎng)、骨干網(wǎng)的出口路由器上進行流量的來源追蹤,以確定出攻擊源的真假。然而,運營商的路由設備一般采用基于流的統(tǒng)計計數(shù)方式,這種統(tǒng)計計數(shù)方式對于大流量的DDOS統(tǒng)計有效,但是對于分布式的小流量DDOS攻擊則無效,無法有效追蹤到小流量DDOS攻擊的真實攻擊來源。
【發(fā)明內容】
[0005]有鑒于此,本發(fā)明提供一種網(wǎng)絡層DDOS攻擊源識別方法、裝置及系統(tǒng),可快速而有效地識別網(wǎng)絡層DDOS攻擊源的真?zhèn)巍?br>
[0006]一種網(wǎng)絡層DDOS攻擊源識別方法,包括:檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值;向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測;接收所述第二服務器根據(jù)所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值;以及判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
[0007]—種網(wǎng)絡層DDOS攻擊源識別方法,包括:檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值;所述檢測服務器向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測;所述第二服務器根據(jù)所述探測指令,對所述攻擊源IP地址進行探測,從所述攻擊源IP地址對應的終端獲取探測響應包,并將所述探測響應包發(fā)送給所述檢測服務器;以及所述檢測服務器提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值,判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
[0008]一種網(wǎng)絡層DDOS攻擊源識別裝置,應用于檢測服務器,其特征在于,包括:DD0S攻擊包獲取與分析模塊,用于在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值;探測指令發(fā)送模塊,用于向第二服務器發(fā)送包含所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測;探測響應包分析模塊,用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊發(fā)送的所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值;判斷模塊,用于判斷所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的TTL值與所述探測響應包分析模塊分析獲得的所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
[0009]一種網(wǎng)絡層DDOS攻擊源識別系統(tǒng),其特征在于,包括:如權利要求6至9中的任一項所述的檢測服務器、第一服務器、以及第二服務器;所述第一服務器用于根據(jù)所述檢測服務器發(fā)送的獲取DOOS攻擊包的請求,將DDOS攻擊包發(fā)送給所述檢測服務器;所述第二服務器用于根據(jù)所述檢測服務器發(fā)送的所述探測指令,對所述攻擊源IP地址進行探測,從所述攻擊源IP地址對應的終端獲取探測響應包,并將所述探測響應包發(fā)送給所述檢測服務器;其中,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中。
[0010]在上述的網(wǎng)絡層DDOS攻擊源識別方法、裝置及系統(tǒng)中,通過檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0011]為讓本發(fā)明的上述和其他目的、特征和優(yōu)點能更明顯易懂,下文特舉較佳實施例, 并配合所附圖式,作詳細說明如下。
【專利附圖】
【附圖說明】
[0012]圖1為本發(fā)明提供的網(wǎng)絡層DDOS攻擊源識別方法的應用環(huán)境圖。
[0013]圖2為本發(fā)明第一實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。
[0014]圖3為本發(fā)明第二實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。
[0015]圖4為本發(fā)明第三實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。
[0016]圖5為本發(fā)明第四實施例提供的檢測服務器的結構示意圖。
[0017]圖6為本發(fā)明第五實施例提供的檢測服務器的結構示意圖。
[0018]圖7為本發(fā)明第六實施例提供的網(wǎng)絡層DDOS攻擊源識別系統(tǒng)的示意圖。
【具體實施方式】
[0019]為更進一步闡述本發(fā)明為實現(xiàn)預定發(fā)明目的所采取的技術手段及功效,以下結合附圖及較佳實施例,對依據(jù)本發(fā)明的【具體實施方式】、結構、特征及其功效,詳細說明如后。
[0020]請參閱圖1,所示為本發(fā)明提供的網(wǎng)絡層DDOS攻擊源識別方法的應用環(huán)境圖。如圖1所示,第一服務器101、第一服務器102、檢測服務器103位于無線或有線網(wǎng)絡中,通過該無線或有線網(wǎng)絡,第一服務器101與第二服務器102分別與監(jiān)測服務器103相互通信,上述第一服務器101、第一服務器102、以及檢測服務器103 —起構成網(wǎng)絡層DDOS攻擊源識別系統(tǒng)100??梢岳斫獾模谝环掌?01也可以是作為客戶端的個人計算機。攻擊方設備集群200是由多臺計算機構成的設備集群,攻擊方設備集群200也位于無線或有線網(wǎng)絡中,通過該無線或有線網(wǎng)絡向第一服務器101發(fā)動DDOS攻擊。
[0021]第一實施例
[0022]請參閱圖2,所示為本發(fā)明第一實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。如圖2所示,該實施例描述的是檢測服務器的處理流程,結合圖1,本實施例提供的網(wǎng)絡層DDOS攻擊源識別方法包括以下步驟:
[0023]步驟21,檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0024]具體地,檢測服務器103通過實時監(jiān)控第一服務器101的數(shù)據(jù)流量信息監(jiān)測第一服務器是否受到DDOS(Distributed Denial of Service,分布式拒絕服務)攻擊,當監(jiān)測到第一服務器101受到DDOS攻擊時,也即監(jiān)測到第一服務器101數(shù)據(jù)流量異常時,例如:出現(xiàn)大流量無用數(shù)據(jù)或第一服務器101上有大量等待的TCP(Transmiss1n Control Protocol,傳輸控制協(xié)議)連接等情況時,從第一服務器101獲取DDOS攻擊包,并對獲取的DDOS攻擊包進行分析,提取DDOS攻擊包中的攻擊源IP (Internet Protocol,網(wǎng)絡協(xié)議)地址,以及攻擊源IP地址的TTL (Time To Live,生存時間)值。
[0025]TTL是IP協(xié)議包中的一個值,由發(fā)送主機設置,用于防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡上永不終止地循環(huán),其最初的設想是確定一個時間范圍,超過此時間就把包丟棄,由于每個路由器都至少要把TTL域減一,TTL通常表示包在被丟棄前最多能經(jīng)過的路由器個數(shù)。當記數(shù)到O時,路由器決定丟棄該包,并發(fā)送一個ICMP (Internet Control MessagesProtocol,因特網(wǎng)信報控制協(xié)議)報文給最初的發(fā)送者。TTL的初值通常是系統(tǒng)缺省值,是包頭中的8位的域。
[0026]步驟22,向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中。
[0027]具體地,檢測服務器103選擇與第一服務器101處于相同拓撲網(wǎng)絡下的任意一臺服務器作為第二服務器102,向該第二服務器102發(fā)送探測指令,該探測指令中包含步驟21中獲取的DDOS攻擊包中所包含的攻擊源IP地址,用于指示第二服務器102對攻擊源IP地址進行探測。
[0028]可以理解的,基于TTL的特性,第一服務器101與第二服務器102處于相同的拓撲網(wǎng)絡下,也即第一服務器101與第二服務器102處于同一個交換機下,或IP地址鄰近,如此才能確保第二服務器102對攻擊源IP地址的探測結果具有可比性,進而確保DDOS攻擊源識別的準確性。
[0029]步驟23,接收所述第二服務器根據(jù)所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值。
[0030]具體地,檢測服務器接收第二服務器102根據(jù)探測指令返回的探測響應包,分析并獲取該探測響應包中的探測源IP地址與所述探測源IP地址的TTL值。
[0031]步驟24,判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值。
[0032]具體地,結合操作系統(tǒng)TTL值的特性,例如windows操作系統(tǒng)的初始TTL值一般為128,Linux操作系統(tǒng)的初始TTL值一般為64,將攻擊源IP地址的TTL值與探測源IP地址的TTL值的差值與預置值進行比較,判斷攻擊源IP地址的TTL值與探測源IP地址的TTL值的差值是否大于預置值。優(yōu)選地,預置值為5。
[0033]由于TTL值能有效標志數(shù)據(jù)包的傳輸路徑的特性,當攻擊者使用隨機源進行DDOS攻擊時,雖然使用了偽造源地址進行攻擊,但攻擊者無法偽造攻擊主機與目標主機之間的位置關系,不管攻擊者如何偽造源IP地址,從同一個攻擊源來的攻擊數(shù)據(jù)包將由同一個路由路徑到達受害者,因此通過對比攻擊源IP地址的TTL值與探測源IP地址的TTL值識別DDOS攻擊源的真?zhèn)?,相對于現(xiàn)有技術中通過運營商的路由器上相關的信息表來層層追溯,更為高效。
[0034]若是,則執(zhí)行步驟25:確定所述攻擊源IP地址為偽造的IP地址。
[0035]可以理解的,由于探測響應包是第二服務器102從攻擊源IP地址對應的終端獲得,因此探測源IP地址與攻擊源IP地址一致,探測源IP地址的TTL值是攻擊源IP的真實TTL值。如果攻擊源IP地址的TTL值與探測源IP地址的TTL值的差值大于預置值,則可確認該DDOS攻擊包并不是由攻擊源IP地址對應的終端發(fā)送的,攻擊源IP地址為偽造的IP地址。
[0036]若否,則執(zhí)行步驟26:確定所述攻擊源IP地址為真實的IP地址。
[0037]本發(fā)明實施例提供的網(wǎng)絡層DDOS攻擊源識別方法,通過檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0038]第二實施例
[0039]請參閱圖3,所示為本發(fā)明第二實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。如圖3所示,該實施例描述的是第一服務器的處理流程,結合圖1,本實施例提供的網(wǎng)絡層DDOS攻擊源識別方法包括以下步驟:
[0040]步驟31,檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,向所述第一服務器發(fā)送獲取所有DOOS攻擊包的請求。
[0041]步驟31具體請參考第一實施例的相應內容,此處不再贅述。
[0042]步驟32,接收所述第一服務器根據(jù)所述請求返回的所有DDOS攻擊包。
[0043]具體地,第一服務器101根據(jù)檢測服務器103發(fā)送的獲取所有DOOS攻擊包的請求,啟動全量抓包,抓取當前所有的DOOS攻擊包,并將抓取的所有的DOOS攻擊包發(fā)送給檢測服務器103。
[0044]步驟33,對所述所有DDOS攻擊包進行DPI分析,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0045]DPI (Deep Packet Inspect1n,深度包檢測技術),是一種基于應用層的流量檢測和控制技術,簡單的說也即逐包進行分析、檢測的技術。DPI檢測技術為現(xiàn)有技術,此處不再贅述。
[0046]具體地,由于DDOS攻擊檢測服務器103利用DPI檢測技術對接收到的第一服務器101返回的所有的DDOS攻擊包進行分析,分別獲取所有DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值,提取出攻擊源及其攻擊TTL值的分布。
[0047]步驟34,向第二服務器發(fā)送包含所有所述攻擊源IP地址的探測指令。
[0048]具體地,檢測服務器103選擇與第一服務器101處于相同拓撲網(wǎng)絡下的任意一臺服務器作為第二服務器102,向該第二服務器102發(fā)送探測指令,該探測指令中包含步驟303中提取的所有的DDOS攻擊源的IP地址,用于指示第二服務器102對所有的DDOS攻擊源的IP地址依次進行PING探測。
[0049]步驟35,接收所述第二服務器根據(jù)所述探測指令返回的所有探測響應包。
[0050]具體地,探測響應包由第二服務器102根據(jù)探測指令,使用PING命令對攻擊源IP地址進行探測時,從攻擊源IP地址對應的終端獲得,第二服務器102將通過PING探測獲得所有的探測響應包返回給檢測服務器103。
[0051]步驟36,對所述所有探測響應包進行DPI分析,分別提取所述所有探測響應包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0052]具體地,檢測服務器103對第二服務器102返回的所有的探測響應包進行DPI分析,提取出所有的探測響應包中的攻擊源IP地址及其TTL分布。
[0053]步驟37,判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值。
[0054]具體地,由于同一次DDOS攻擊的攻擊源IP地址可能有多個,其對應的探測源IP地址也有多個,檢測服務器103逐一將多個攻擊源IP地址的TTL值與其各自對應的探測源IP地址的TTL值進行比較,分別判斷多個攻擊源IP地址的TTL值與其各自對應的探測源IP地址的TTL值的差值是否大于預置值。優(yōu)選地,預置值可為5。
[0055]若是,則執(zhí)行步驟38:確定所述攻擊源IP地址為偽造的IP地址。
[0056]步驟38具體請參考第一實施例的相應內容,此處不再贅述。
[0057]若否,則執(zhí)行步驟39:確定所述攻擊源IP地址為真實的IP地址。
[0058]本發(fā)明實施例提供的網(wǎng)絡層DDOS攻擊源識別方法,通過檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0059]第三實施例
[0060]請參閱圖4,所示為本發(fā)明第三實施例提供的網(wǎng)絡層DDOS攻擊源識別方法的流程圖。如圖4所示,該實施例描述的是用戶終端的處理流程,結合圖1,本實施例提供的網(wǎng)絡層DDOS攻擊源識別方法包括以下步驟:
[0061]步驟41,檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,向第一服務器發(fā)送DDOS攻擊包獲取請求。
[0062]具體地,檢測服務器103通過實時監(jiān)控第一服務器101的數(shù)據(jù)流量信息監(jiān)測第一服務器是否受到DDOS(Distributed Denial of Service,分布式拒絕服務)攻擊,當監(jiān)測到第一服務器101受到DDOS攻擊時,也即監(jiān)測到第一服務器101數(shù)據(jù)流量異常時,例如:出現(xiàn)大流量無用數(shù)據(jù)或第一服務器101上有大量等待的TCP(Transmiss1n Control Protocol,傳輸控制協(xié)議)連接等情況時,向第一服務器發(fā)送DDOS攻擊包獲取請求,請求第一服務器101全量抓取DDOS攻擊包,并將抓取的所有的DDOS攻擊包返回給檢測服務器103。
[0063]步驟42,第一服務器根據(jù)獲取請求獲取DDOS攻擊包,并將DDOS攻擊包返回給檢測服務器。
[0064]具體地,第一服務器101根據(jù)檢測服務器103發(fā)送的獲取請求,全量抓取當前受到的所有DDOS攻擊包,并將抓取的所有的DDOS攻擊包返回給檢測服務器103。
[0065]步驟43,檢測服務器分析獲取DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL 值。
[0066]具體地,檢測服務器103對第一服務器101返回的所有的DDOS攻擊包進行DPI(Deep Packet Inspect1n,深度包檢測技術)分析,提取所有的DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值的分布。
[0067]步驟44,檢測服務器向第二服務器發(fā)送包含攻擊源IP地址的探測指令。
[0068]具體地,檢測服務器103選擇與第一服務器101處于相同拓撲網(wǎng)絡下的任意一臺服務器作為第二服務器102,向該第二服務器102發(fā)送探測指令,該探測指令中包含所有的DDOS攻擊源的IP地址,用于指示第二服務器102對所有的DDOS攻擊源的IP地址依次進行探測。
[0069]步驟45,第二服務器根據(jù)探測指令,對攻擊源IP地址進行探測,從攻擊源IP地址對應的終端獲取探測響應包,并將探測響應包發(fā)送給檢測服務器。
[0070]于本實施例一【具體實施方式】中,第二服務器102對所有的DDOS攻擊源的IP地址依次進行PING探測,以獲取探測響應包。PING是一個通用通信協(xié)議,屬于TCP/IP協(xié)議(Transmiss1n Control Protocol/Internet Protocol,傳輸控制協(xié)議/ 因特網(wǎng)互聯(lián)協(xié)議)的一部分,一般可用于檢測網(wǎng)絡通與不通,PING通過發(fā)送一個ICMP (Internet ControlMessages Protocol,因特網(wǎng)信報控制協(xié)議)回聲請求消息給目的地,并報告是否收到所希望的ICMP echo(ICMP回聲應答)。利用PING探測可以簡單而有效地獲取來自于攻擊源IP地址的探測響應包,從而提高DDOS攻擊源識別的效率。
[0071]于本實施例其他【具體實施方式】中,第二服務器102也可利用Telnet、Traceroute等其他通用互聯(lián)網(wǎng)協(xié)議,對所有的DDOS攻擊源的IP地址依次進行探測。
[0072]步驟46,檢測服務器提取探測響應包中的探測源IP地址與探測源IP地址的TTL值,判斷攻擊源IP地址的TTL值與探測源IP地址的TTL值的差值是否大于預置值,若是,則確定攻擊源IP地址為偽造的IP地址,若否,則確定攻擊源IP地址為真實的IP地址。
[0073]具體地,檢測服務器103首先對第二服務器102返回的所有的探測響應包進行DPI分析,提取出所有的探測響應包中的攻擊源IP地址及其TTL分布。然后逐一將多個攻擊源IP地址的TTL值與其各自對應的探測源IP地址的TTL值進行比較,分別判斷多個攻擊源IP地址的TTL值與其各自對應的探測源IP地址的TTL值的差值是否大于預置值?;赥TL值的特性,當攻擊源IP地址的TTL值與其對應的探測源IP地址的TTL值的差值大于預置值(例如:5)時,說明攻擊源IP地址的TTL值與其對應的探測源IP地址的TTL值的誤差較大,則可確定攻擊源IP地址為偽造的IP地址。當攻擊源IP地址的TTL值與其對應的探測源IP地址的TTL值的差值小于或等于預置值時,則可確定攻擊源IP地址為真實的IP地址。
[0074]本發(fā)明實施例提供的網(wǎng)絡層DDOS攻擊源識別方法,通過檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0075]第四實施例
[0076]圖5為本發(fā)明第四實施例提供的檢測服務器的結構示意圖。本實施例提供的檢測服務器可以用于實現(xiàn)第一實施例中的網(wǎng)絡層DDOS攻擊源識別方法。如圖5所示,檢測服務器50包括:DD0S攻擊包獲取與分析模塊51、探測指令發(fā)送模塊52、探測響應包分析模塊53、判斷模塊54。
[0077]其中,DDOS攻擊包獲取與分析模塊51用于在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0078]探測指令發(fā)送模塊52用于向第二服務器發(fā)送包含所述DDOS攻擊包獲取與分析模塊51分析獲得的所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測。
[0079]探測響應包分析模塊53用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊發(fā)送的所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值。
[0080]判斷模塊54用于判斷所述DDOS攻擊包獲取與分析模塊51分析獲得的所述攻擊源IP地址的TTL值與所述探測響應包分析模塊52分析獲得的所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
[0081]本實施例檢測服務器50的各功能模塊實現(xiàn)各自功能的具體過程,請參見上述圖1至圖4所示實施例中描述的具體內容,此處不再贅述。
[0082]本發(fā)明實施例提供的網(wǎng)絡層DDOS攻擊源識別裝置,通過在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0083]第五實施例
[0084]圖6為本發(fā)明第五實施例提供的檢測服務器的結構示意圖。本實施例提供的檢測服務器可以用于實現(xiàn)第二實施例與第三實施例中的網(wǎng)絡層DDOS攻擊源識別方法。如圖6所示,檢測服務器60包括:DD0S攻擊包獲取與分析模塊61、探測指令發(fā)送模塊62、探測響應包分析模塊63、判斷模塊64。
[0085]其中,DDOS攻擊包獲取與分析模塊61用于在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。所述DDOS攻擊包獲取與分析模塊61包括:DD0S攻擊包獲取請求發(fā)送單元611、DD0S攻擊包接收單元612、DD0S攻擊包分析單元613。其中DDOS攻擊包獲取請求發(fā)送單元611用于在監(jiān)測到第一服務器受到DDOS攻擊時,向所述第一服務器發(fā)送獲取所有DOOS攻擊包的請求;DD0S攻擊包接收單元612用于接收所述第一服務器根據(jù)所述DDOS攻擊包獲取請求發(fā)送單元611發(fā)送的所述獲取所有DOOS攻擊包的請求發(fā)送的所有DDOS攻擊包。DDOS攻擊包分析單元613用于對所述DDOS攻擊包接收單元612接收的所述所有DDOS攻擊包進行DPI分析,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0086]探測指令發(fā)送模塊62用于向第二服務器發(fā)送包含所述DDOS攻擊包獲取與分析模塊61分析獲得的所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測,還用于向第二服務器發(fā)送包含所有所述攻擊源IP地址的探測指令,所述探測指令用于指示所述第二服務器使用PING命令依次對所述所有DDOS攻擊包中的攻擊源IP地址進行探測。
[0087]探測響應包分析模塊63用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊62發(fā)送的所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值。所述探測響應包分析模塊包括:探測響應包接收單元631、探測響應包分析單元632。其中,探測響應包接收單元631用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊發(fā)送的探測指令返回的所有探測響應包,所述探測響應包由所述第二服務器根據(jù)所述探測指令,使用PING命令對所述攻擊源IP地址進行探測時,從所述攻擊源IP地址對應的終端獲得。探測響應包分析單元632用于對所述探測響應包接收單元631接收的所述所有探測響應包進行DPI分析,分別提取所述所有探測響應包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0088]判斷模塊64用于判斷所述DDOS攻擊包獲取與分析模塊62分析獲得的所述攻擊源IP地址的TTL值與所述探測響應包分析模塊63分析獲得的所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
[0089]本實施例檢測服務器60的各功能模塊實現(xiàn)各自功能的具體過程,請參見上述圖1至圖4所示實施例中描述的具體內容,此處不再贅述。
[0090]本發(fā)明實施例提供的網(wǎng)絡層DDOS攻擊源識別裝置,通過在監(jiān)測到第一服務器受到DDOS攻擊時,利用與第一服務器處于相同網(wǎng)絡拓撲中的第二服務器對DDOS攻擊源進行反向探測,同時利用TTL值的特性,通過比較DDOS攻擊源的源IP地址的TTL值與探測源IP地址的TTL值,可快速而有效地識別網(wǎng)絡層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0091]第六實施例
[0092]請參閱圖7,所示為本發(fā)明第六實施例提供的網(wǎng)絡層DDOS攻擊源識別系統(tǒng)的結構示意圖。如圖7所示,本實施例提供的網(wǎng)絡層DDOS攻擊源識別系統(tǒng)70包括:第一服務器71、檢測服務器72、以及第二服務器73。
[0093]其中,第一服務器71用于根據(jù)檢測服務器72發(fā)送的獲取DOOS攻擊包的請求,將DDOS攻擊包發(fā)送給檢測服務器72。
[0094]檢測服務器72的具體結構可參考圖5與圖6對應實施例的裝置,此處不再贅述。
[0095]第二服務器73用于根據(jù)檢測服務器72發(fā)送的探測指令,對攻擊源IP地址進行探測,從攻擊源IP地址對應的終端獲取探測響應包,并將探測響應包發(fā)送給檢測服務器72。其中,第二服務器73與第一服務器71同處于一個網(wǎng)絡拓撲中。
[0096]本實施例中的網(wǎng)絡層DDOS攻擊源識別系統(tǒng)中各裝置實現(xiàn)功能的具體過程請參閱圖1至圖4對應實施例的方法,以及圖5與圖6對應實施例的裝置,此處不再贅述。
[0097]需要說明的是,本說明書中的各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。對于裝置類實施例而言,由于其與方法實施例基本相似,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
[0098]需要說明的是,在本文中,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者裝置不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者裝置所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者裝置中還存在另外的相同要素。
[0099]本領域普通技術人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質中,上述提到的存儲介質可以是只讀存儲器,磁盤或光盤等。
[0100]以上所述,僅是本發(fā)明的較佳實施例而已,并非對本發(fā)明作任何形式上的限制,雖然本發(fā)明已以較佳實施例揭露如上,然而并非用以限定本發(fā)明,任何熟悉本專業(yè)的技術人員,在不脫離本發(fā)明技術方案范圍內,當可利用上述揭示的技術內容做出些許更動或修飾為等同變化的等效實施例,但凡是未脫離本發(fā)明技術方案內容,依據(jù)本發(fā)明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬于本發(fā)明技術方案的范圍內。
【權利要求】
1.一種網(wǎng)絡層DDOS攻擊源識別方法,其特征在于,包括: 檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值; 向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測; 接收所述第二服務器根據(jù)所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值;以及 判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
2.根據(jù)權利要求1所述的方法,其特征在于,所述檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值的步驟,包括: 檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,向所述第一服務器發(fā)送獲取所有DOOS攻擊包的請求; 接收所述第一服務器根據(jù)所述請求返回的所有DDOS攻擊包; 對所述所有DDOS攻擊包進行DPI分析; 分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
3.根據(jù)權利要求2所述的方法,其特征在于,所述向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令的步驟,包括: 向第二服務器發(fā)送包含所有所述攻擊源IP地址的探測指令,所述探測指令用于指示所述第二服務器使用PING命令依次對所述所有DDOS攻擊包中的攻擊源IP地址進行探測。
4.根據(jù)權利要求3所述的方法,其特征在于,所述接收所述第二服務器根據(jù)所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值的步驟,包括: 接收所述第二服務器根據(jù)所述探測指令返回的所有探測響應包,所述探測響應包由所述第二服務器根據(jù)所述探測指令,使用PING命令對所述攻擊源IP地址進行探測時,從所述攻擊源IP地址對應的終端獲得; 對所述所有探測響應包進行DPI分析; 分別提取所述所有探測響應包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
5.—種網(wǎng)絡層DDOS攻擊源識別方法,其特征在于,包括: 檢測服務器在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值; 所述檢測服務器向第二服務器發(fā)送包含所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測; 所述第二服務器根據(jù)所述探測指令,對所述攻擊源IP地址進行探測,從所述攻擊源IP地址對應的終端獲取探測響應包,并將所述探測響應包發(fā)送給所述檢測服務器;以及 所述檢測服務器提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值,判斷所述攻擊源IP地址的TTL值與所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
6.一種網(wǎng)絡層DDOS攻擊源識別裝置,應用于檢測服務器,其特征在于,包括: DDOS攻擊包獲取與分析模塊,用于在監(jiān)測到第一服務器受到DDOS攻擊時,從所述第一服務器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值; 探測指令發(fā)送模塊,用于向第二服務器發(fā)送包含所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的探測指令,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中,所述探測指令用于指示所述第二服務器對所述攻擊源IP地址進行探測; 探測響應包分析模塊,用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊發(fā)送的所述探測指令返回的探測響應包,提取所述探測響應包中的探測源IP地址與所述探測源IP地址的TTL值; 判斷模塊,用于判斷所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的TTL值與所述探測響應包分析模塊分析獲得的所述探測源IP地址的TTL值的差值是否大于預置值,若是,則確定所述攻擊源IP地址為偽造的IP地址,若否,則確定所述攻擊源IP地址為真實的IP地址。
7.根據(jù)權利要求6所述的裝置,所述DDOS攻擊包獲取與分析模塊包括: DDOS攻擊包獲取請求發(fā)送單元,用于在監(jiān)測到第一服務器受到DDOS攻擊時,向所述第一服務器發(fā)送獲取所有DOOS攻擊包的請求; DDOS攻擊包接收單元,用于接收所述第一服務器根據(jù)所述DDOS攻擊包獲取請求發(fā)送單元發(fā)送的所述獲取所有DOOS攻擊包的請求發(fā)送的所有DDOS攻擊包; DDOS攻擊包分析單元,用于對所述DDOS攻擊包接收單元接收的所述所有DDOS攻擊包進行DPI分析,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL 值。
8.根據(jù)權利要求7所述的裝置,其特征在于,所述探測指令發(fā)送模塊用于向第二服務器發(fā)送包含所有所述攻擊源IP地址的探測指令,所述探測指令用于指示所述第二服務器使用PING命令依次對所述所有DDOS攻擊包中的攻擊源IP地址進行探測。
9.根據(jù)權利要求8所述的裝置,其特征在于,所述探測響應包分析模塊包括: 探測響應包接收單元,用于接收所述第二服務器根據(jù)所述探測指令發(fā)送模塊發(fā)送的探測指令返回的所有探測響應包,所述探測響應包由所述第二服務器根據(jù)所述探測指令,使用PING命令對所述攻擊源IP地址進行探測時,從所述攻擊源IP地址對應的終端獲得; 探測響應包分析單元,用于對所述探測響應包接收單元接收的所述所有探測響應包進行DPI分析,分別提取所述所有探測響應包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
10.一種網(wǎng)絡層DDOS攻擊源識別系統(tǒng),其特征在于,包括:如權利要求6至9中的任一項所述的檢測服務器、第一服務器、以及第二服務器; 所述第一服務器用于根據(jù)所述檢測服務器發(fā)送的獲取DOOS攻擊包的請求,將DDOS攻擊包發(fā)送給所述檢測服務器; 所述第二服務器用于根據(jù)所述檢測服務器發(fā)送的所述探測指令,對所述攻擊源IP地址進行探測,從所述攻擊源IP地址對應的終端獲取探測響應包,并將所述探測響應包發(fā)送給所述檢測服務器; 其中,所述第二服務器與所述第一服務器同處于一個網(wǎng)絡拓撲中。
【文檔編號】H04L29/06GK104348794SQ201310325923
【公開日】2015年2月11日 申請日期:2013年7月30日 優(yōu)先權日:2013年7月30日
【發(fā)明者】羅喜軍, 陳勇 申請人:深圳市騰訊計算機系統(tǒng)有限公司