網(wǎng)絡(luò)層ddos攻擊源識(shí)別方法���、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法���,包括:檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí),從第一服務(wù)器獲取DDOS攻擊包��,提取DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值;向第二服務(wù)器發(fā)送包含攻擊源IP地址的探測(cè)指令��;接收第二服務(wù)器根據(jù)探測(cè)指令返回的探測(cè)響應(yīng)包,提取探測(cè)響應(yīng)包中的探測(cè)源IP地址與探測(cè)源IP地址的TTL值;以及判斷攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值�����,若是,則確定攻擊源IP地址為偽造的IP地址,若否�,則確定攻擊源IP地址為真實(shí)的IP地址。此外��,本發(fā)明還提供一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別裝置及系統(tǒng)。上述網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法�、裝置及系統(tǒng)可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源����。
【專利說(shuō)明】
網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)通信【技術(shù)領(lǐng)域】,尤其涉及一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法�����、裝置及系統(tǒng)���。
【背景技術(shù)】
[0002]DOS (Denial of Service��,拒絕服務(wù))攻擊�,是指一種可造成服務(wù)器無(wú)法提供正常服務(wù)的攻擊�。最常見(jiàn)的DOS攻擊有網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。其中帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)����,使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡�����,最后導(dǎo)致合法的用戶請(qǐng)求無(wú)法通過(guò)�。連通性攻擊指用大量的連接請(qǐng)求沖擊服務(wù)器���,使得所有可用的操作系統(tǒng)資源都被消耗殆盡����,最終服務(wù)器無(wú)法再處理合法用戶的請(qǐng)求�����。
[0003]DDOS (Distributed Denial of Service,分布式拒絕服務(wù))攻擊是指借助于客戶端/服務(wù)器技術(shù)��,將多個(gè)客戶端聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DOS攻擊��。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDOS主控程序安裝在一個(gè)客戶端上����,主控程序在預(yù)設(shè)時(shí)間與大量安裝在互聯(lián)網(wǎng)上的多個(gè)客戶端中的多個(gè)代理程序進(jìn)行通訊,利用客戶端/服務(wù)器技術(shù)��,主控程序在幾秒鐘內(nèi)激活成百上千次代理程序使其發(fā)動(dòng)攻擊���,從而可成倍地提高DOS攻擊的威力。
[0004]按攻擊所針對(duì)的網(wǎng)絡(luò)層次可以把DDOS攻擊分為網(wǎng)絡(luò)層DDOS (Net-DDOS)攻擊和App-DDOS攻擊�����。其中Net-DDOS攻擊主要是利用了現(xiàn)有的低層(包括IP層和TCP層)協(xié)議的漏洞來(lái)發(fā)動(dòng)攻擊�����,典型的攻擊方式包括使用偽造IP地址的攻擊節(jié)點(diǎn)向目標(biāo)主機(jī)發(fā)送大量攻擊分組,例如:TCP (Transmiss1n Control Protocol,傳輸控制協(xié)議)分組�����、ICMP(Internet Control Messages Protocol,因特網(wǎng)信報(bào)控制協(xié)議)分組、UDP (User DatagramProtocol�����,用戶數(shù)據(jù)報(bào)協(xié)議)分組等�,利用TCP的三次握手機(jī)制使目標(biāo)服務(wù)器為維護(hù)一個(gè)非常大的半開(kāi)放連接列表而消耗非常多的CPU (Central Processing Unit,中央處理器)和內(nèi)存資源�����,最終因?yàn)槎褩R绯龆鴮?dǎo)致系統(tǒng)崩潰無(wú)法為正常用戶提供服務(wù)。網(wǎng)絡(luò)層DDOS攻擊基于其協(xié)議特性�,在不需要與服務(wù)器建立可靠連接的情況下發(fā)送大量數(shù)據(jù)包��,使得在攻擊溯源方面存在較大的難度���。目前業(yè)界一般的方法是借助與運(yùn)營(yíng)商的合作����,在城域網(wǎng)��、骨干網(wǎng)的出口路由器上進(jìn)行流量的來(lái)源追蹤�����,以確定出攻擊源的真假��。然而,運(yùn)營(yíng)商的路由設(shè)備一般采用基于流的統(tǒng)計(jì)計(jì)數(shù)方式��,這種統(tǒng)計(jì)計(jì)數(shù)方式對(duì)于大流量的DDOS統(tǒng)計(jì)有效�����,但是對(duì)于分布式的小流量DDOS攻擊則無(wú)效�,無(wú)法有效追蹤到小流量DDOS攻擊的真實(shí)攻擊來(lái)源。
【發(fā)明內(nèi)容】
[0005]有鑒于此����,本發(fā)明提供一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法�、裝置及系統(tǒng),可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源的真?zhèn)巍?br>
[0006]一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法,包括:檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,從所述第一服務(wù)器獲取DDOS攻擊包����,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值��;向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令�,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲?����,所述探測(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)����;接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的探測(cè)響應(yīng)包,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值����;以及判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值�����,若是,則確定所述攻擊源IP地址為偽造的IP地址��,若否�����,則確定所述攻擊源IP地址為真實(shí)的IP地址。
[0007]—種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法����,包括:檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,從所述第一服務(wù)器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值��;所述檢測(cè)服務(wù)器向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令��,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲?�,所述探測(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)��;所述第二服務(wù)器根據(jù)所述探測(cè)指令���,對(duì)所述攻擊源IP地址進(jìn)行探測(cè),從所述攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包,并將所述探測(cè)響應(yīng)包發(fā)送給所述檢測(cè)服務(wù)器����;以及所述檢測(cè)服務(wù)器提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值���,判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值,若是����,則確定所述攻擊源IP地址為偽造的IP地址�����,若否,則確定所述攻擊源IP地址為真實(shí)的IP地址。
[0008]一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別裝置���,應(yīng)用于檢測(cè)服務(wù)器,其特征在于�,包括:DD0S攻擊包獲取與分析模塊��,用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,從所述第一服務(wù)器獲取DDOS攻擊包,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值����;探測(cè)指令發(fā)送模塊����,用于向第二服務(wù)器發(fā)送包含所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的探測(cè)指令����,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲?,所述探測(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)���;探測(cè)響應(yīng)包分析模塊���,用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊發(fā)送的所述探測(cè)指令返回的探測(cè)響應(yīng)包����,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值��;判斷模塊,用于判斷所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的TTL值與所述探測(cè)響應(yīng)包分析模塊分析獲得的所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值����,若是�����,則確定所述攻擊源IP地址為偽造的IP地址��,若否����,則確定所述攻擊源IP地址為真實(shí)的IP地址。
[0009]一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng),其特征在于�����,包括:如權(quán)利要求6至9中的任一項(xiàng)所述的檢測(cè)服務(wù)器、第一服務(wù)器、以及第二服務(wù)器����;所述第一服務(wù)器用于根據(jù)所述檢測(cè)服務(wù)器發(fā)送的獲取DOOS攻擊包的請(qǐng)求,將DDOS攻擊包發(fā)送給所述檢測(cè)服務(wù)器�;所述第二服務(wù)器用于根據(jù)所述檢測(cè)服務(wù)器發(fā)送的所述探測(cè)指令����,對(duì)所述攻擊源IP地址進(jìn)行探測(cè)�����,從所述攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包,并將所述探測(cè)響應(yīng)包發(fā)送給所述檢測(cè)服務(wù)器�����;其中,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲小?br>
[0010]在上述的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法��、裝置及系統(tǒng)中�,通過(guò)檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)��,利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè)�����,同時(shí)利用TTL值的特性,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值��,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0011]為讓本發(fā)明的上述和其他目的、特征和優(yōu)點(diǎn)能更明顯易懂����,下文特舉較佳實(shí)施例���, 并配合所附圖式��,作詳細(xì)說(shuō)明如下�。
【專利附圖】
【附圖說(shuō)明】
[0012]圖1為本發(fā)明提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的應(yīng)用環(huán)境圖。
[0013]圖2為本發(fā)明第一實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖����。
[0014]圖3為本發(fā)明第二實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖�����。
[0015]圖4為本發(fā)明第三實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖。
[0016]圖5為本發(fā)明第四實(shí)施例提供的檢測(cè)服務(wù)器的結(jié)構(gòu)示意圖���。
[0017]圖6為本發(fā)明第五實(shí)施例提供的檢測(cè)服務(wù)器的結(jié)構(gòu)示意圖���。
[0018]圖7為本發(fā)明第六實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)的示意圖�。
【具體實(shí)施方式】
[0019]為更進(jìn)一步闡述本發(fā)明為實(shí)現(xiàn)預(yù)定發(fā)明目的所采取的技術(shù)手段及功效,以下結(jié)合附圖及較佳實(shí)施例�,對(duì)依據(jù)本發(fā)明的【具體實(shí)施方式】��、結(jié)構(gòu)�����、特征及其功效��,詳細(xì)說(shuō)明如后�。
[0020]請(qǐng)參閱圖1,所示為本發(fā)明提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的應(yīng)用環(huán)境圖���。如圖1所示�,第一服務(wù)器101、第一服務(wù)器102��、檢測(cè)服務(wù)器103位于無(wú)線或有線網(wǎng)絡(luò)中,通過(guò)該無(wú)線或有線網(wǎng)絡(luò)��,第一服務(wù)器101與第二服務(wù)器102分別與監(jiān)測(cè)服務(wù)器103相互通信,上述第一服務(wù)器101�����、第一服務(wù)器102�、以及檢測(cè)服務(wù)器103 —起構(gòu)成網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)100。可以理解的,第一服務(wù)器101也可以是作為客戶端的個(gè)人計(jì)算機(jī)�����。攻擊方設(shè)備集群200是由多臺(tái)計(jì)算機(jī)構(gòu)成的設(shè)備集群�,攻擊方設(shè)備集群200也位于無(wú)線或有線網(wǎng)絡(luò)中���,通過(guò)該無(wú)線或有線網(wǎng)絡(luò)向第一服務(wù)器101發(fā)動(dòng)DDOS攻擊�。
[0021]第一實(shí)施例
[0022]請(qǐng)參閱圖2�����,所示為本發(fā)明第一實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖。如圖2所示���,該實(shí)施例描述的是檢測(cè)服務(wù)器的處理流程�,結(jié)合圖1,本實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法包括以下步驟:
[0023]步驟21�,檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�,從所述第一服務(wù)器獲取DDOS攻擊包�,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�����。
[0024]具體地,檢測(cè)服務(wù)器103通過(guò)實(shí)時(shí)監(jiān)控第一服務(wù)器101的數(shù)據(jù)流量信息監(jiān)測(cè)第一服務(wù)器是否受到DDOS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊��,當(dāng)監(jiān)測(cè)到第一服務(wù)器101受到DDOS攻擊時(shí)�,也即監(jiān)測(cè)到第一服務(wù)器101數(shù)據(jù)流量異常時(shí),例如:出現(xiàn)大流量無(wú)用數(shù)據(jù)或第一服務(wù)器101上有大量等待的TCP(Transmiss1n Control Protocol,傳輸控制協(xié)議)連接等情況時(shí)���,從第一服務(wù)器101獲取DDOS攻擊包,并對(duì)獲取的DDOS攻擊包進(jìn)行分析�����,提取DDOS攻擊包中的攻擊源IP (Internet Protocol,網(wǎng)絡(luò)協(xié)議)地址����,以及攻擊源IP地址的TTL (Time To Live�����,生存時(shí)間)值�����。
[0025]TTL是IP協(xié)議包中的一個(gè)值,由發(fā)送主機(jī)設(shè)置�,用于防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡(luò)上永不終止地循環(huán)�,其最初的設(shè)想是確定一個(gè)時(shí)間范圍��,超過(guò)此時(shí)間就把包丟棄��,由于每個(gè)路由器都至少要把TTL域減一�����,TTL通常表示包在被丟棄前最多能經(jīng)過(guò)的路由器個(gè)數(shù)。當(dāng)記數(shù)到O時(shí),路由器決定丟棄該包,并發(fā)送一個(gè)ICMP (Internet Control MessagesProtocol,因特網(wǎng)信報(bào)控制協(xié)議)報(bào)文給最初的發(fā)送者����。TTL的初值通常是系統(tǒng)缺省值,是包頭中的8位的域�。
[0026]步驟22�����,向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令���,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲小?br>
[0027]具體地�����,檢測(cè)服務(wù)器103選擇與第一服務(wù)器101處于相同拓?fù)渚W(wǎng)絡(luò)下的任意一臺(tái)服務(wù)器作為第二服務(wù)器102,向該第二服務(wù)器102發(fā)送探測(cè)指令,該探測(cè)指令中包含步驟21中獲取的DDOS攻擊包中所包含的攻擊源IP地址��,用于指示第二服務(wù)器102對(duì)攻擊源IP地址進(jìn)行探測(cè)�。
[0028]可以理解的���,基于TTL的特性,第一服務(wù)器101與第二服務(wù)器102處于相同的拓?fù)渚W(wǎng)絡(luò)下,也即第一服務(wù)器101與第二服務(wù)器102處于同一個(gè)交換機(jī)下����,或IP地址鄰近,如此才能確保第二服務(wù)器102對(duì)攻擊源IP地址的探測(cè)結(jié)果具有可比性�,進(jìn)而確保DDOS攻擊源識(shí)別的準(zhǔn)確性。
[0029]步驟23�,接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的探測(cè)響應(yīng)包�,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值���。
[0030]具體地����,檢測(cè)服務(wù)器接收第二服務(wù)器102根據(jù)探測(cè)指令返回的探測(cè)響應(yīng)包,分析并獲取該探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值�。
[0031]步驟24�,判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值。
[0032]具體地,結(jié)合操作系統(tǒng)TTL值的特性�����,例如windows操作系統(tǒng)的初始TTL值一般為128�,Linux操作系統(tǒng)的初始TTL值一般為64��,將攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值的差值與預(yù)置值進(jìn)行比較����,判斷攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值�。優(yōu)選地��,預(yù)置值為5�����。
[0033]由于TTL值能有效標(biāo)志數(shù)據(jù)包的傳輸路徑的特性,當(dāng)攻擊者使用隨機(jī)源進(jìn)行DDOS攻擊時(shí)�����,雖然使用了偽造源地址進(jìn)行攻擊�,但攻擊者無(wú)法偽造攻擊主機(jī)與目標(biāo)主機(jī)之間的位置關(guān)系,不管攻擊者如何偽造源IP地址�����,從同一個(gè)攻擊源來(lái)的攻擊數(shù)據(jù)包將由同一個(gè)路由路徑到達(dá)受害者,因此通過(guò)對(duì)比攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值識(shí)別DDOS攻擊源的真?zhèn)?,相?duì)于現(xiàn)有技術(shù)中通過(guò)運(yùn)營(yíng)商的路由器上相關(guān)的信息表來(lái)層層追溯����,更為高效����。
[0034]若是����,則執(zhí)行步驟25:確定所述攻擊源IP地址為偽造的IP地址。
[0035]可以理解的�����,由于探測(cè)響應(yīng)包是第二服務(wù)器102從攻擊源IP地址對(duì)應(yīng)的終端獲得,因此探測(cè)源IP地址與攻擊源IP地址一致,探測(cè)源IP地址的TTL值是攻擊源IP的真實(shí)TTL值�。如果攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值的差值大于預(yù)置值�,則可確認(rèn)該DDOS攻擊包并不是由攻擊源IP地址對(duì)應(yīng)的終端發(fā)送的�����,攻擊源IP地址為偽造的IP地址����。
[0036]若否��,則執(zhí)行步驟26:確定所述攻擊源IP地址為真實(shí)的IP地址。
[0037]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法,通過(guò)檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí),利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè),同時(shí)利用TTL值的特性�,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值�����,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0038]第二實(shí)施例
[0039]請(qǐng)參閱圖3����,所示為本發(fā)明第二實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖�。如圖3所示,該實(shí)施例描述的是第一服務(wù)器的處理流程����,結(jié)合圖1�����,本實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法包括以下步驟:
[0040]步驟31�����,檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,向所述第一服務(wù)器發(fā)送獲取所有DOOS攻擊包的請(qǐng)求��。
[0041]步驟31具體請(qǐng)參考第一實(shí)施例的相應(yīng)內(nèi)容����,此處不再贅述���。
[0042]步驟32���,接收所述第一服務(wù)器根據(jù)所述請(qǐng)求返回的所有DDOS攻擊包。
[0043]具體地,第一服務(wù)器101根據(jù)檢測(cè)服務(wù)器103發(fā)送的獲取所有DOOS攻擊包的請(qǐng)求���,啟動(dòng)全量抓包���,抓取當(dāng)前所有的DOOS攻擊包,并將抓取的所有的DOOS攻擊包發(fā)送給檢測(cè)服務(wù)器103����。
[0044]步驟33,對(duì)所述所有DDOS攻擊包進(jìn)行DPI分析���,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值����。
[0045]DPI (Deep Packet Inspect1n,深度包檢測(cè)技術(shù)),是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)��,簡(jiǎn)單的說(shuō)也即逐包進(jìn)行分析�����、檢測(cè)的技術(shù)���。DPI檢測(cè)技術(shù)為現(xiàn)有技術(shù)���,此處不再贅述��。
[0046]具體地�,由于DDOS攻擊檢測(cè)服務(wù)器103利用DPI檢測(cè)技術(shù)對(duì)接收到的第一服務(wù)器101返回的所有的DDOS攻擊包進(jìn)行分析�,分別獲取所有DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值�����,提取出攻擊源及其攻擊TTL值的分布。
[0047]步驟34�����,向第二服務(wù)器發(fā)送包含所有所述攻擊源IP地址的探測(cè)指令�。
[0048]具體地�,檢測(cè)服務(wù)器103選擇與第一服務(wù)器101處于相同拓?fù)渚W(wǎng)絡(luò)下的任意一臺(tái)服務(wù)器作為第二服務(wù)器102�,向該第二服務(wù)器102發(fā)送探測(cè)指令��,該探測(cè)指令中包含步驟303中提取的所有的DDOS攻擊源的IP地址���,用于指示第二服務(wù)器102對(duì)所有的DDOS攻擊源的IP地址依次進(jìn)行PING探測(cè)��。
[0049]步驟35�,接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的所有探測(cè)響應(yīng)包����。
[0050]具體地����,探測(cè)響應(yīng)包由第二服務(wù)器102根據(jù)探測(cè)指令,使用PING命令對(duì)攻擊源IP地址進(jìn)行探測(cè)時(shí)���,從攻擊源IP地址對(duì)應(yīng)的終端獲得,第二服務(wù)器102將通過(guò)PING探測(cè)獲得所有的探測(cè)響應(yīng)包返回給檢測(cè)服務(wù)器103�。
[0051]步驟36,對(duì)所述所有探測(cè)響應(yīng)包進(jìn)行DPI分析�����,分別提取所述所有探測(cè)響應(yīng)包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0052]具體地�,檢測(cè)服務(wù)器103對(duì)第二服務(wù)器102返回的所有的探測(cè)響應(yīng)包進(jìn)行DPI分析����,提取出所有的探測(cè)響應(yīng)包中的攻擊源IP地址及其TTL分布���。
[0053]步驟37,判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值。
[0054]具體地���,由于同一次DDOS攻擊的攻擊源IP地址可能有多個(gè)��,其對(duì)應(yīng)的探測(cè)源IP地址也有多個(gè)�����,檢測(cè)服務(wù)器103逐一將多個(gè)攻擊源IP地址的TTL值與其各自對(duì)應(yīng)的探測(cè)源IP地址的TTL值進(jìn)行比較,分別判斷多個(gè)攻擊源IP地址的TTL值與其各自對(duì)應(yīng)的探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值�����。優(yōu)選地,預(yù)置值可為5。
[0055]若是����,則執(zhí)行步驟38:確定所述攻擊源IP地址為偽造的IP地址��。
[0056]步驟38具體請(qǐng)參考第一實(shí)施例的相應(yīng)內(nèi)容,此處不再贅述��。
[0057]若否����,則執(zhí)行步驟39:確定所述攻擊源IP地址為真實(shí)的IP地址。
[0058]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法,通過(guò)檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè)�,同時(shí)利用TTL值的特性�����,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值���,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0059]第三實(shí)施例
[0060]請(qǐng)參閱圖4��,所示為本發(fā)明第三實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法的流程圖�����。如圖4所示�����,該實(shí)施例描述的是用戶終端的處理流程��,結(jié)合圖1,本實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法包括以下步驟:
[0061]步驟41�,檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)���,向第一服務(wù)器發(fā)送DDOS攻擊包獲取請(qǐng)求。
[0062]具體地,檢測(cè)服務(wù)器103通過(guò)實(shí)時(shí)監(jiān)控第一服務(wù)器101的數(shù)據(jù)流量信息監(jiān)測(cè)第一服務(wù)器是否受到DDOS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊,當(dāng)監(jiān)測(cè)到第一服務(wù)器101受到DDOS攻擊時(shí)����,也即監(jiān)測(cè)到第一服務(wù)器101數(shù)據(jù)流量異常時(shí),例如:出現(xiàn)大流量無(wú)用數(shù)據(jù)或第一服務(wù)器101上有大量等待的TCP(Transmiss1n Control Protocol,傳輸控制協(xié)議)連接等情況時(shí)�,向第一服務(wù)器發(fā)送DDOS攻擊包獲取請(qǐng)求,請(qǐng)求第一服務(wù)器101全量抓取DDOS攻擊包�,并將抓取的所有的DDOS攻擊包返回給檢測(cè)服務(wù)器103����。
[0063]步驟42,第一服務(wù)器根據(jù)獲取請(qǐng)求獲取DDOS攻擊包��,并將DDOS攻擊包返回給檢測(cè)服務(wù)器��。
[0064]具體地�����,第一服務(wù)器101根據(jù)檢測(cè)服務(wù)器103發(fā)送的獲取請(qǐng)求�����,全量抓取當(dāng)前受到的所有DDOS攻擊包,并將抓取的所有的DDOS攻擊包返回給檢測(cè)服務(wù)器103��。
[0065]步驟43�����,檢測(cè)服務(wù)器分析獲取DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL 值。
[0066]具體地���,檢測(cè)服務(wù)器103對(duì)第一服務(wù)器101返回的所有的DDOS攻擊包進(jìn)行DPI(Deep Packet Inspect1n,深度包檢測(cè)技術(shù))分析,提取所有的DDOS攻擊包中的攻擊源IP地址與攻擊源IP地址的TTL值的分布���。
[0067]步驟44,檢測(cè)服務(wù)器向第二服務(wù)器發(fā)送包含攻擊源IP地址的探測(cè)指令����。
[0068]具體地,檢測(cè)服務(wù)器103選擇與第一服務(wù)器101處于相同拓?fù)渚W(wǎng)絡(luò)下的任意一臺(tái)服務(wù)器作為第二服務(wù)器102,向該第二服務(wù)器102發(fā)送探測(cè)指令�,該探測(cè)指令中包含所有的DDOS攻擊源的IP地址,用于指示第二服務(wù)器102對(duì)所有的DDOS攻擊源的IP地址依次進(jìn)行探測(cè)����。
[0069]步驟45���,第二服務(wù)器根據(jù)探測(cè)指令�����,對(duì)攻擊源IP地址進(jìn)行探測(cè),從攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包,并將探測(cè)響應(yīng)包發(fā)送給檢測(cè)服務(wù)器���。
[0070]于本實(shí)施例一【具體實(shí)施方式】中,第二服務(wù)器102對(duì)所有的DDOS攻擊源的IP地址依次進(jìn)行PING探測(cè),以獲取探測(cè)響應(yīng)包���。PING是一個(gè)通用通信協(xié)議�����,屬于TCP/IP協(xié)議(Transmiss1n Control Protocol/Internet Protocol,傳輸控制協(xié)議/ 因特網(wǎng)互聯(lián)協(xié)議)的一部分,一般可用于檢測(cè)網(wǎng)絡(luò)通與不通�����,PING通過(guò)發(fā)送一個(gè)ICMP (Internet ControlMessages Protocol����,因特網(wǎng)信報(bào)控制協(xié)議)回聲請(qǐng)求消息給目的地�����,并報(bào)告是否收到所希望的ICMP echo(ICMP回聲應(yīng)答)。利用PING探測(cè)可以簡(jiǎn)單而有效地獲取來(lái)自于攻擊源IP地址的探測(cè)響應(yīng)包,從而提高DDOS攻擊源識(shí)別的效率��。
[0071]于本實(shí)施例其他【具體實(shí)施方式】中,第二服務(wù)器102也可利用Telnet、Traceroute等其他通用互聯(lián)網(wǎng)協(xié)議���,對(duì)所有的DDOS攻擊源的IP地址依次進(jìn)行探測(cè)。
[0072]步驟46���,檢測(cè)服務(wù)器提取探測(cè)響應(yīng)包中的探測(cè)源IP地址與探測(cè)源IP地址的TTL值�����,判斷攻擊源IP地址的TTL值與探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值��,若是���,則確定攻擊源IP地址為偽造的IP地址���,若否����,則確定攻擊源IP地址為真實(shí)的IP地址���。
[0073]具體地,檢測(cè)服務(wù)器103首先對(duì)第二服務(wù)器102返回的所有的探測(cè)響應(yīng)包進(jìn)行DPI分析����,提取出所有的探測(cè)響應(yīng)包中的攻擊源IP地址及其TTL分布��。然后逐一將多個(gè)攻擊源IP地址的TTL值與其各自對(duì)應(yīng)的探測(cè)源IP地址的TTL值進(jìn)行比較�,分別判斷多個(gè)攻擊源IP地址的TTL值與其各自對(duì)應(yīng)的探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值���。基于TTL值的特性,當(dāng)攻擊源IP地址的TTL值與其對(duì)應(yīng)的探測(cè)源IP地址的TTL值的差值大于預(yù)置值(例如:5)時(shí),說(shuō)明攻擊源IP地址的TTL值與其對(duì)應(yīng)的探測(cè)源IP地址的TTL值的誤差較大���,則可確定攻擊源IP地址為偽造的IP地址��。當(dāng)攻擊源IP地址的TTL值與其對(duì)應(yīng)的探測(cè)源IP地址的TTL值的差值小于或等于預(yù)置值時(shí)�����,則可確定攻擊源IP地址為真實(shí)的IP地址。
[0074]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法���,通過(guò)檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�,利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè)��,同時(shí)利用TTL值的特性��,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0075]第四實(shí)施例
[0076]圖5為本發(fā)明第四實(shí)施例提供的檢測(cè)服務(wù)器的結(jié)構(gòu)示意圖�。本實(shí)施例提供的檢測(cè)服務(wù)器可以用于實(shí)現(xiàn)第一實(shí)施例中的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法�。如圖5所示�,檢測(cè)服務(wù)器50包括:DD0S攻擊包獲取與分析模塊51��、探測(cè)指令發(fā)送模塊52���、探測(cè)響應(yīng)包分析模塊53��、判斷模塊54��。
[0077]其中,DDOS攻擊包獲取與分析模塊51用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�,從所述第一服務(wù)器獲取DDOS攻擊包���,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�。
[0078]探測(cè)指令發(fā)送模塊52用于向第二服務(wù)器發(fā)送包含所述DDOS攻擊包獲取與分析模塊51分析獲得的所述攻擊源IP地址的探測(cè)指令��,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲?,所述探測(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)����。
[0079]探測(cè)響應(yīng)包分析模塊53用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊發(fā)送的所述探測(cè)指令返回的探測(cè)響應(yīng)包�,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值��。
[0080]判斷模塊54用于判斷所述DDOS攻擊包獲取與分析模塊51分析獲得的所述攻擊源IP地址的TTL值與所述探測(cè)響應(yīng)包分析模塊52分析獲得的所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值��,若是��,則確定所述攻擊源IP地址為偽造的IP地址,若否����,則確定所述攻擊源IP地址為真實(shí)的IP地址��。
[0081]本實(shí)施例檢測(cè)服務(wù)器50的各功能模塊實(shí)現(xiàn)各自功能的具體過(guò)程���,請(qǐng)參見(jiàn)上述圖1至圖4所示實(shí)施例中描述的具體內(nèi)容�,此處不再贅述��。
[0082]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別裝置�,通過(guò)在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí),利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè)�����,同時(shí)利用TTL值的特性��,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值�����,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0083]第五實(shí)施例
[0084]圖6為本發(fā)明第五實(shí)施例提供的檢測(cè)服務(wù)器的結(jié)構(gòu)示意圖��。本實(shí)施例提供的檢測(cè)服務(wù)器可以用于實(shí)現(xiàn)第二實(shí)施例與第三實(shí)施例中的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法�����。如圖6所示�,檢測(cè)服務(wù)器60包括:DD0S攻擊包獲取與分析模塊61、探測(cè)指令發(fā)送模塊62、探測(cè)響應(yīng)包分析模塊63���、判斷模塊64���。
[0085]其中,DDOS攻擊包獲取與分析模塊61用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)���,從所述第一服務(wù)器獲取DDOS攻擊包����,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�����。所述DDOS攻擊包獲取與分析模塊61包括:DD0S攻擊包獲取請(qǐng)求發(fā)送單元611�、DD0S攻擊包接收單元612、DD0S攻擊包分析單元613����。其中DDOS攻擊包獲取請(qǐng)求發(fā)送單元611用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)����,向所述第一服務(wù)器發(fā)送獲取所有DOOS攻擊包的請(qǐng)求;DD0S攻擊包接收單元612用于接收所述第一服務(wù)器根據(jù)所述DDOS攻擊包獲取請(qǐng)求發(fā)送單元611發(fā)送的所述獲取所有DOOS攻擊包的請(qǐng)求發(fā)送的所有DDOS攻擊包����。DDOS攻擊包分析單元613用于對(duì)所述DDOS攻擊包接收單元612接收的所述所有DDOS攻擊包進(jìn)行DPI分析����,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
[0086]探測(cè)指令發(fā)送模塊62用于向第二服務(wù)器發(fā)送包含所述DDOS攻擊包獲取與分析模塊61分析獲得的所述攻擊源IP地址的探測(cè)指令��,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲?��,所述探測(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)����,還用于向第二服務(wù)器發(fā)送包含所有所述攻擊源IP地址的探測(cè)指令��,所述探測(cè)指令用于指示所述第二服務(wù)器使用PING命令依次對(duì)所述所有DDOS攻擊包中的攻擊源IP地址進(jìn)行探測(cè)���。
[0087]探測(cè)響應(yīng)包分析模塊63用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊62發(fā)送的所述探測(cè)指令返回的探測(cè)響應(yīng)包����,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值��。所述探測(cè)響應(yīng)包分析模塊包括:探測(cè)響應(yīng)包接收單元631、探測(cè)響應(yīng)包分析單元632���。其中���,探測(cè)響應(yīng)包接收單元631用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊發(fā)送的探測(cè)指令返回的所有探測(cè)響應(yīng)包,所述探測(cè)響應(yīng)包由所述第二服務(wù)器根據(jù)所述探測(cè)指令����,使用PING命令對(duì)所述攻擊源IP地址進(jìn)行探測(cè)時(shí),從所述攻擊源IP地址對(duì)應(yīng)的終端獲得�����。探測(cè)響應(yīng)包分析單元632用于對(duì)所述探測(cè)響應(yīng)包接收單元631接收的所述所有探測(cè)響應(yīng)包進(jìn)行DPI分析��,分別提取所述所有探測(cè)響應(yīng)包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�。
[0088]判斷模塊64用于判斷所述DDOS攻擊包獲取與分析模塊62分析獲得的所述攻擊源IP地址的TTL值與所述探測(cè)響應(yīng)包分析模塊63分析獲得的所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值,若是�,則確定所述攻擊源IP地址為偽造的IP地址,若否�,則確定所述攻擊源IP地址為真實(shí)的IP地址。
[0089]本實(shí)施例檢測(cè)服務(wù)器60的各功能模塊實(shí)現(xiàn)各自功能的具體過(guò)程�,請(qǐng)參見(jiàn)上述圖1至圖4所示實(shí)施例中描述的具體內(nèi)容,此處不再贅述���。
[0090]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別裝置�,通過(guò)在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí),利用與第一服務(wù)器處于相同網(wǎng)絡(luò)拓?fù)渲械牡诙?wù)器對(duì)DDOS攻擊源進(jìn)行反向探測(cè)����,同時(shí)利用TTL值的特性���,通過(guò)比較DDOS攻擊源的源IP地址的TTL值與探測(cè)源IP地址的TTL值�,可快速而有效地識(shí)別網(wǎng)絡(luò)層DDOS攻擊源IP地址的真?zhèn)巍?br>
[0091]第六實(shí)施例
[0092]請(qǐng)參閱圖7�����,所示為本發(fā)明第六實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)的結(jié)構(gòu)示意圖���。如圖7所示�,本實(shí)施例提供的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)70包括:第一服務(wù)器71�、檢測(cè)服務(wù)器72、以及第二服務(wù)器73��。
[0093]其中�,第一服務(wù)器71用于根據(jù)檢測(cè)服務(wù)器72發(fā)送的獲取DOOS攻擊包的請(qǐng)求,將DDOS攻擊包發(fā)送給檢測(cè)服務(wù)器72����。
[0094]檢測(cè)服務(wù)器72的具體結(jié)構(gòu)可參考圖5與圖6對(duì)應(yīng)實(shí)施例的裝置�,此處不再贅述�����。
[0095]第二服務(wù)器73用于根據(jù)檢測(cè)服務(wù)器72發(fā)送的探測(cè)指令���,對(duì)攻擊源IP地址進(jìn)行探測(cè)�,從攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包���,并將探測(cè)響應(yīng)包發(fā)送給檢測(cè)服務(wù)器72���。其中,第二服務(wù)器73與第一服務(wù)器71同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲小?br>
[0096]本實(shí)施例中的網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)中各裝置實(shí)現(xiàn)功能的具體過(guò)程請(qǐng)參閱圖1至圖4對(duì)應(yīng)實(shí)施例的方法��,以及圖5與圖6對(duì)應(yīng)實(shí)施例的裝置���,此處不再贅述�。
[0097]需要說(shuō)明的是���,本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述��,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處���,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可��。對(duì)于裝置類實(shí)施例而言��,由于其與方法實(shí)施例基本相似����,所以描述的比較簡(jiǎn)單�,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可��。
[0098]需要說(shuō)明的是�,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)�����,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序���。而且����,術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含����,從而使得包括一系列要素的過(guò)程、方法���、物品或者裝置不僅包括那些要素����,而且還包括沒(méi)有明確列出的其他要素����,或者是還包括為這種過(guò)程、方法�����、物品或者裝置所固有的要素��。在沒(méi)有更多限制的情況下��,由語(yǔ)句“包括一個(gè)……”限定的要素���,并不排除在包括所述要素的過(guò)程�����、方法�、物品或者裝置中還存在另外的相同要素。
[0099]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過(guò)硬件來(lái)完成�,也可以通過(guò)程序來(lái)指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器��,磁盤或光盤等�����。
[0100]以上所述����,僅是本發(fā)明的較佳實(shí)施例而已���,并非對(duì)本發(fā)明作任何形式上的限制�����,雖然本發(fā)明已以較佳實(shí)施例揭露如上�,然而并非用以限定本發(fā)明,任何熟悉本專業(yè)的技術(shù)人員��,在不脫離本發(fā)明技術(shù)方案范圍內(nèi)�,當(dāng)可利用上述揭示的技術(shù)內(nèi)容做出些許更動(dòng)或修飾為等同變化的等效實(shí)施例,但凡是未脫離本發(fā)明技術(shù)方案內(nèi)容�����,依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施例所作的任何簡(jiǎn)單修改����、等同變化與修飾,均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)��。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法��,其特征在于�,包括: 檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí),從所述第一服務(wù)器獲取DDOS攻擊包���,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�; 向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令�,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲校鎏綔y(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè); 接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的探測(cè)響應(yīng)包�,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值;以及 判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值���,若是�����,則確定所述攻擊源IP地址為偽造的IP地址��,若否���,則確定所述攻擊源IP地址為真實(shí)的IP地址。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,從所述第一服務(wù)器獲取DDOS攻擊包����,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值的步驟,包括: 檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�,向所述第一服務(wù)器發(fā)送獲取所有DOOS攻擊包的請(qǐng)求; 接收所述第一服務(wù)器根據(jù)所述請(qǐng)求返回的所有DDOS攻擊包���; 對(duì)所述所有DDOS攻擊包進(jìn)行DPI分析�����; 分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值���。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于�,所述向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令的步驟,包括: 向第二服務(wù)器發(fā)送包含所有所述攻擊源IP地址的探測(cè)指令����,所述探測(cè)指令用于指示所述第二服務(wù)器使用PING命令依次對(duì)所述所有DDOS攻擊包中的攻擊源IP地址進(jìn)行探測(cè)。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的探測(cè)響應(yīng)包����,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值的步驟�����,包括: 接收所述第二服務(wù)器根據(jù)所述探測(cè)指令返回的所有探測(cè)響應(yīng)包��,所述探測(cè)響應(yīng)包由所述第二服務(wù)器根據(jù)所述探測(cè)指令����,使用PING命令對(duì)所述攻擊源IP地址進(jìn)行探測(cè)時(shí)�,從所述攻擊源IP地址對(duì)應(yīng)的終端獲得; 對(duì)所述所有探測(cè)響應(yīng)包進(jìn)行DPI分析�; 分別提取所述所有探測(cè)響應(yīng)包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
5.—種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別方法��,其特征在于���,包括: 檢測(cè)服務(wù)器在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)����,從所述第一服務(wù)器獲取DDOS攻擊包��,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值�; 所述檢測(cè)服務(wù)器向第二服務(wù)器發(fā)送包含所述攻擊源IP地址的探測(cè)指令�,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲校鎏綔y(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè); 所述第二服務(wù)器根據(jù)所述探測(cè)指令��,對(duì)所述攻擊源IP地址進(jìn)行探測(cè)���,從所述攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包��,并將所述探測(cè)響應(yīng)包發(fā)送給所述檢測(cè)服務(wù)器����;以及 所述檢測(cè)服務(wù)器提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值�����,判斷所述攻擊源IP地址的TTL值與所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值���,若是��,則確定所述攻擊源IP地址為偽造的IP地址�����,若否�,則確定所述攻擊源IP地址為真實(shí)的IP地址�����。
6.一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別裝置,應(yīng)用于檢測(cè)服務(wù)器���,其特征在于��,包括: DDOS攻擊包獲取與分析模塊�,用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)�����,從所述第一服務(wù)器獲取DDOS攻擊包��,提取所述DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL值����; 探測(cè)指令發(fā)送模塊,用于向第二服務(wù)器發(fā)送包含所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的探測(cè)指令�,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲校鎏綔y(cè)指令用于指示所述第二服務(wù)器對(duì)所述攻擊源IP地址進(jìn)行探測(cè)�����; 探測(cè)響應(yīng)包分析模塊�,用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊發(fā)送的所述探測(cè)指令返回的探測(cè)響應(yīng)包�����,提取所述探測(cè)響應(yīng)包中的探測(cè)源IP地址與所述探測(cè)源IP地址的TTL值; 判斷模塊�����,用于判斷所述DDOS攻擊包獲取與分析模塊分析獲得的所述攻擊源IP地址的TTL值與所述探測(cè)響應(yīng)包分析模塊分析獲得的所述探測(cè)源IP地址的TTL值的差值是否大于預(yù)置值�����,若是����,則確定所述攻擊源IP地址為偽造的IP地址,若否����,則確定所述攻擊源IP地址為真實(shí)的IP地址。
7.根據(jù)權(quán)利要求6所述的裝置����,所述DDOS攻擊包獲取與分析模塊包括: DDOS攻擊包獲取請(qǐng)求發(fā)送單元,用于在監(jiān)測(cè)到第一服務(wù)器受到DDOS攻擊時(shí)���,向所述第一服務(wù)器發(fā)送獲取所有DOOS攻擊包的請(qǐng)求���; DDOS攻擊包接收單元���,用于接收所述第一服務(wù)器根據(jù)所述DDOS攻擊包獲取請(qǐng)求發(fā)送單元發(fā)送的所述獲取所有DOOS攻擊包的請(qǐng)求發(fā)送的所有DDOS攻擊包; DDOS攻擊包分析單元�,用于對(duì)所述DDOS攻擊包接收單元接收的所述所有DDOS攻擊包進(jìn)行DPI分析,分別獲取所述所有DDOS攻擊包中的攻擊源IP地址與所述攻擊源IP地址的TTL 值�����。
8.根據(jù)權(quán)利要求7所述的裝置�����,其特征在于�����,所述探測(cè)指令發(fā)送模塊用于向第二服務(wù)器發(fā)送包含所有所述攻擊源IP地址的探測(cè)指令�,所述探測(cè)指令用于指示所述第二服務(wù)器使用PING命令依次對(duì)所述所有DDOS攻擊包中的攻擊源IP地址進(jìn)行探測(cè)。
9.根據(jù)權(quán)利要求8所述的裝置��,其特征在于,所述探測(cè)響應(yīng)包分析模塊包括: 探測(cè)響應(yīng)包接收單元��,用于接收所述第二服務(wù)器根據(jù)所述探測(cè)指令發(fā)送模塊發(fā)送的探測(cè)指令返回的所有探測(cè)響應(yīng)包���,所述探測(cè)響應(yīng)包由所述第二服務(wù)器根據(jù)所述探測(cè)指令�,使用PING命令對(duì)所述攻擊源IP地址進(jìn)行探測(cè)時(shí)�����,從所述攻擊源IP地址對(duì)應(yīng)的終端獲得�����; 探測(cè)響應(yīng)包分析單元�,用于對(duì)所述探測(cè)響應(yīng)包接收單元接收的所述所有探測(cè)響應(yīng)包進(jìn)行DPI分析�,分別提取所述所有探測(cè)響應(yīng)包中的攻擊源IP地址與所述攻擊源IP地址的TTL值。
10.一種網(wǎng)絡(luò)層DDOS攻擊源識(shí)別系統(tǒng)�,其特征在于,包括:如權(quán)利要求6至9中的任一項(xiàng)所述的檢測(cè)服務(wù)器�����、第一服務(wù)器�����、以及第二服務(wù)器; 所述第一服務(wù)器用于根據(jù)所述檢測(cè)服務(wù)器發(fā)送的獲取DOOS攻擊包的請(qǐng)求��,將DDOS攻擊包發(fā)送給所述檢測(cè)服務(wù)器��; 所述第二服務(wù)器用于根據(jù)所述檢測(cè)服務(wù)器發(fā)送的所述探測(cè)指令����,對(duì)所述攻擊源IP地址進(jìn)行探測(cè),從所述攻擊源IP地址對(duì)應(yīng)的終端獲取探測(cè)響應(yīng)包��,并將所述探測(cè)響應(yīng)包發(fā)送給所述檢測(cè)服務(wù)器����; 其中,所述第二服務(wù)器與所述第一服務(wù)器同處于一個(gè)網(wǎng)絡(luò)拓?fù)渲小?br>
【文檔編號(hào)】H04L29/06GK104348794SQ201310325923
【公開(kāi)日】2015年2月11日 申請(qǐng)日期:2013年7月30日 優(yōu)先權(quán)日:2013年7月30日
【發(fā)明者】羅喜軍, 陳勇 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司