内的软件探测器,向所述被保护服务器上报的报文样本。
[0042]可选地,所述装置还包括共享单元,用于将确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围共享给其它被保护服务器,以使得其它被保护服务器能够通过共享的方式获取各地理区域内的报文到达所述其它被保护服务器的TTL阈值数据。
[0043]进一步可选地,所述虚假源判断单元,还用于在确定所述报文对应的客户端为虚假源的同时或之后,对所述报文进行丢弃处理。
[0044]本发明有益效果如下:
[0045]本发明实施例提供了一种识别虚假源攻击的方法及装置,可在确定被保护服务器有攻击触发的情况下,针对每一到达所述被保护服务器的报文,提取所述报文的源IP地址以及当前TTL,并根据所述报文的源IP地址、源IP地址与地理区域之间的对应关系以及地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述报文所属的地理区域内的报文到达所述被保护服务器的TTL阈值范围,以判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。即,无需对到达被保护服务器的各报文进行首包丢弃或跳转处理,便可对所有报文进行识别,不仅避免了对服务器的正常业务运行所带来的影响,而且节省了网络资源,提高了虚假源识别的效率。
【附图说明】
[0046]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0047]图1所示为本发明实施例一中所述的识别虚假源攻击方法的流程示意图;
[0048]图2所示为本发明实施例一中所述的建立地理区域与到达被保护服务器的报文的TTL阈值范围之间的对应关系的步骤流程图;
[0049]图3所示为本发明实施例二中所述的识别虚假源攻击装置的结构示意图;
[0050]图4所示为本发明实施例二中所述的第一学习单元的结构示意图。
【具体实施方式】
[0051]为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0052]实施例一:
[0053]本发明实施例一提供了一种识别虚假源攻击的方法,具体地,如图1所示,其为本发明实施例一中所述的识别虚假源攻击方法的流程示意图,所述方法可包括以下步骤:
[0054]步骤101:若确定被保护服务器有攻击触发,则针对每一到达所述被保护服务器的报文,提取所述报文的源IP地址以及当前TTL;
[0055]步骤102:根据所述报文的源IP地址以及设定的源IP地址与地理区域之间的对应关系,确定所述报文所属的地理区域;
[0056]步骤103:根据确定的地理区域,以及设定的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,确定所述确定的地理区域内的报文到达所述被保护服务器的TTL阈值范围;
[0057]步骤104:判断所述报文的当前TTL是否位于确定的所述TTL阈值范围内,若否,则确定所述报文对应的客户端为虚假源。
[0058]其中,需要说明的是,当在设定时间长度内,所述被保护服务器接收到超过设定阈值数量的报文时,便可确定被保护服务器有攻击触发,其中所述设定时间长度以及设定阈值数量均可根据实际情况灵活设置;另外,也可采用其它方式监控所述被保护服务器是否有攻击触发,本实施例在此不作任何限定。
[0059]另外,需要说明的是,若任意两个报文的TTL字段的初始值不相同,即使所述任意两个报文的所属地理区域相同,到达所述被保护服务器所经过的路径完全相同,所述任意两个报文的TTL字段的最终值也有可能相差很大。且,由于TTL字段由报文的发送者设置,不受所述被保护服务器控制,因此,本实施例中所述的各TTL(如当前TTL,或TTL阈值范围中的TTL)通常可指的是TTL的减小值,以标识各报文到达被保护服务器时所经过的节点个数或路径长短,本实施例在此不再赘述。
[0060]进一步地,本实施例中的地理区域可以城市、或运营商来划分。即,针对任一报文,所述报文所属的地理区域可以为所述报文的源IP地址所归属的城市,也可为所述报文的源IP地址所归属的运营商。
[0061]另外,为了使得识别结果更加准确,还可根据报文的源IP地址所归属的城市,以及报文的源IP地址所归属的运营商来共同确定报文所属的地理区域。相应的,源IP地址与地理区域之间的对应关系可以表示为源IP地址与城市以及运营商之间的对应关系,地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系也可表示为城市以及运营商与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,本实施例在此不再赘述。
[0062]下面,将以建立的源IP地址与地理区域之间的对应关系可以表示为源IP地址与城市以及运营商之间的对应关系,地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系也可表示为城市以及运营商与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系为例,对本实施例中所述的识别流程进行简要说明:
[0063]假设某位于澳大利亚的源IP地址为129.78.5.11的被保护服务器有攻击触发,则针对任一到达所述被保护服务器的报文,可提取其源IP地址以及当前TTL(即,TTL的实际减少值);
[0064]假设该报文的源IP地址为222.211.139.7,当前TTL为17(S卩,TTL的实际减少值为17),则可根据该源IP地址,查询预先建立的源IP地址与地理区域之间的对应关系,以得知该源IP地址所归属的城市以及运营商;
[0065]假设该源IP地址归属于中国成都电信,且,通过查询预先建立的地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,可确定中国成都电信的报文到达所述被保护服务器的TTL阈值范围为20?22(S卩,正常情况下TTL的理论减少值应为20?22),则,可确定该源IP地址为222.211.139.7的报文的当前TTL不在所述TTL阈值范围内,从而可以识别出该报文的IP地址为虚假源IP地址,即该报文对应的客户端为虚假源。
[0066]也就是说,可以在确定被保护服务器有攻击触发的情况下,根据每一个到达所述被保护服务器的报文的源IP地址,确定其所属地理区域,并将每一个到达所述被保护服务器的报文的当前TTL,与设定的与其所属地理区域相对应的TTL阈值范围进行比较,若所述当前TTL不在所述TTL阈值范围之内,则可确定该报文的IP地址为虚假IP地址,S卩,无需对到达所述被保护服务器的各报文进行首包丢弃或跳转处理,便可对所有报文进行识别,不仅避免了对服务器的正常业务运行所带来的影响,而且节省了网络资源,提高了虚假源攻击识别的效率。
[0067]进一步地,针对任一报文,在确定所述报文对应的客户端为虚假源的同时或之后,还可对所述报文进行丢弃处理,本实施例在此不再赘述。
[0068]另外,需要说明的是,本实施例中,除了可按照城市和/或运营商来划分地理区域之外,还可按照IP地址来划分不同的地理区域,即,此时,针对任一报文,所述报文所属的地理区域还可为所述报文的源IP地址本身,对此也不作赘述。
[0069]下面,将对源IP地址与地理区域之间的对应关系,以及地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系的建立过程进行详细说明。
[0070]可选地,源IP地址与地理区域之间的对应关系可通过以下方式得到:
[0071 ]针对任一源IP地址,根据用于存储各IP地址对应的城市以及运营商等数据的IP地址信息库提供的数据,确定所述任一源IP地址所归属的地理区域;
[0072]根据确定的各源IP地址所归属的地理区域,建立源IP地址与地理区域之间的对应关系。
[0073]当然,也可通过其它方式获得源IP地址与地理区域之间的对应关系,本实施例在此不作任何限定。
[0074]进一步地,针对任一被保护服务器,地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系,可通过以下方式得到(如图2所示):
[0075]步骤201:针对任一地理区域,在所述被保护服务器无攻击触发的任一设定学习时间段内,获取源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本,以及各报文样本的当前TTL;
[0076]步骤202:根据获取到的源IP地址归属于所述任一地理区域的正常到达所述被保护服务器的各报文样本的当前TTL,确定所述任一地理区域内的报文到达所述被保护服务器的TTL最大值以及最小值,并根据确定的TTL最大值以及最小值,确定所述任一地理区域内的报文到达所述被保护服务器的TTL阈值范围;
[0077]步骤203:根据确定的各地理区域内的报文到达所述被保护服务器的TTL阈值范围,建立地理区域与到达所述被保护服务器的报文的TTL阈值范围之间的对应关系。
[0078]需要说明的是,所述被保护服务器无攻击触发,可以是指在设定时间