一种DDOS防御系统中检测伪造源IP的方法和装置与流程

技术特征：

1.一种DDOS防御系统中检测伪造源IP的方法，其特征在于，包括：

获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；

在本地数据表中查询所述源IP地址对应的跳数集合；

当所述跳数属于所述跳数集合，或该跳数与所述跳数集合中最大或最小跳数的差距小于预设阈值时，判断所述待检测报文为非伪造源IP的攻击报文，更新所述本地数据表；否则，判断所述待检测报文为伪造源IP的攻击报文。

2.根据权利要求1所述的DDOS防御系统中检测伪造源IP的方法，其特征在于：

当在本地数据表中查询不到所述源IP地址，或查询到的所述跳数集合为空集，或跳数与所述跳数集合中所述最大或最小跳数的差距不小于预设阈值，或所述源IP地址的反探测次数少于预设置信值时，向所述源IP地址发送反探测报文；

若收到所述源IP地址对所述反探测报文的响应报文，则根据所述响应报文的生存时间值计算反向跳数，并将该反向跳数添加至所述源IP地址对应的跳数集合之中；

若收不到所述源IP地址对所述反探测报文的响应报文，则减少所述本地数据表中该源IP地址的可信度。

3.根据权利要求2所述的DDOS防御系统中检测伪造源IP的方法，其特征在于，所述本地数据表至少包含由连续的IP地址组成的IP地址段和该IP地址段对应的跳数集合，在本地数据表中查询所述源IP地址对应的跳数集合的步骤，包括：

在本地数据表中以升序或降序对所述IP地址段进行排列；

根据所述源IP地址归属的IP地址段，获取对应的跳数集合。

4.根据权利要求3所述的DDOS防御系统中检测伪造源IP的方法，其特征在于，将该反向跳数添加至所述源IP地址对应的跳数集合之中的步骤之后，还包括：

根据所述反向跳数校验所述跳数集合之中的其他跳数；

当所述源IP地址的反向跳数与其所属的IP地址段对应的跳数集合中其他跳数的差距不小于预设阈值，将该源IP地址从其所属的IP地址段分离；

当所述源IP地址的反向跳数与其相邻的IP地址段对应的跳数集合中其他跳数的差距小于预设阈值，将该源IP地址与其相邻的IP地址段合并。

5.根据权利要求1所述的DDOS防御系统中检测伪造源IP的方法，其特征在于，根据该生存时间值计算该待检测报文途径网络节点的跳数的步骤，包括：

从报文生存时间的系统初始设置值当中，选取一个大于且最接近所述生存时间值的系统初始设置值，作为所述待检测报文的报文初始值；

将所述报文初始值减去所述生存时间值，获得该待检测报文途径网络节点的跳数。

6.一种DDOS防御系统中检测伪造源IP的装置，其特征在于，包括：

跳数计算单元，用于获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；

数据查询单元，用于在本地数据表中查询所述源IP地址对应的跳数集合；

数据更新单元，用于当所述跳数属于所述跳数集合或该跳数与所述跳数集合中最大或最小跳数的差距小于预设阈值时，判断所述待检测报文为非伪造源IP的攻击报文，更新所述本地数据表；否则，判断所述待检测报文为伪造源IP的攻击报文。

7.根据权利要求6所述的DDOS防御系统中检测伪造源IP的装置，其特征在于，还包括：

所述反向探测单元，用于当在本地数据表中查询不到所述源IP地址，或查询到的所述跳数集合为空集，或跳数与所述跳数集合中所述最大或最小跳数的差距不小于预设阈值，或所述源IP地址的反探测次数少于预设置信值时，向所述源IP地址发送反探测报文；

所述反向探测单元还与所述跳数计算单元相连，所述跳数计算单元还用于若收到所述源IP地址对所述反探测报文的响应报文，则根据所述响应报文的生存时间值计算反向跳数；所述数据更新单元，还用于将该反向跳数添加至所述源IP地址对应的跳数集合之中；

所述反向探测单元还与所述数据更新单元相连，所述数据更新单元还用于若收不到所述源IP地址对所述反探测报文的响应报文，则减少所述本地数据表中该源IP地址的可信度。

8.根据权利要求7所述的DDOS防御系统中检测伪造源IP的装置，其特征在于，所述本地数据表至少包含由连续的IP地址组成的IP地址段和该IP地址段对应的跳数集合，所述数据查询单元，包括：

IP段排列单元，用于在本地数据表中以升序或降序对所述IP地址段进行排列；

归属查询单元，用于根据所述源IP地址归属的IP地址段，获取对应的跳数集合；

IP段校验单元，用于根据所述反向跳数校验所述跳数集合之中的其他跳数；当所述源IP地址的反向跳数与其所属的IP地址段对应的跳数集合中其他跳数的差距不小于预设阈值，将该源IP地址从其所属的IP地址段分离；当所述源IP地址的反向跳数与其相邻的IP地址段对应的跳数集合中其他跳数的差距小于预设阈值，将该源IP地址与其相邻的IP地址段合并。

9.根据权利要求6所述的DDOS防御系统中检测伪造源IP的装置，其特征在于，所述跳数计算单元，包括：

初值估算单元，用于从报文生存时间的系统初始设置值当中，选取一个大于且最接近所述生存时间值的系统初始设置值，作为所述待检测报文的报文初始值；

跳数推测单元，用于将所述报文初始值减去所述生存时间值，获得该待检测报文途径网络节点的跳数。

10.一种DDOS防御系统，其特征在于，包括：交换机、清洗设备和检测设备；其中，所述检测设备包含如权利要求6-9任一项所述的DDOS防御系统中检测伪造源IP的装置，所述清洗设备用于清洗伪造源IP；其中，所述交换机与目标服务器相连，用于转发访问地址为目标服务器的报文；所述清洗设备与所述交换机并联，用于分流访问地址为目标服务器的报文；所述检测设备连接在所述交换机与所述清洗设备之间，用于检测访问地址为目标服务器的报文，生成本地数据表，以供所述清洗设备。