技术总结
本申请提供一种攻击报文的溯源方法和装置,该方法为:获取待溯源的攻击报文;确定所述攻击报文的五元组和攻击时间段;根据所述五元组和攻击时间段,在预先获取的netflow日志中查询所述攻击报文经过的路由器的标识;将查询到的路由器的标识按照所述攻击报文的转发顺序进行排列;将得到的排列结果中的第一个路由器的标识所对应的路由器确定为所述攻击报文的攻击源。上述方法利用了netflow日志,无论抓取到的攻击报文携带的源IP地址是否真实,均可以通过netflow日志分析出已知攻击报文的转发路径,从而确定出攻击报文的真实来源。
技术研发人员:佟立超
受保护的技术使用者:杭州迪普科技股份有限公司
文档号码:201610901916
技术研发日:2016.10.17
技术公布日:2017.03.01