专利名称:检测扫描攻击的方法和设备的制作方法
技术领域:
本发明涉及一种检测扫描攻击的方法,特别是一种依据在一定时间内监控攻击次数来检测扫描攻击的方法;本发明还涉及一种检测扫描攻击的设备, 特别是一种依据在一定时间内监控攻击次数来检测扫描攻击的设备,属于网 络安全技术领域。
背景技术:
扫描攻击的目的是寻找能够成功攻击的服务;扫描攻击通常是黑客或者 其他攻击者常用的一种网络:探测技术,包括网际协议(Internet Protocol, 以下简称IP)地址扫描(IP-Sweep)及端口扫描(Port-scan)两种。
IP-Sweep的目的是探测网络中的活动主机。攻击的方法是发送大量目 标IP地址变化的报文,以期从回应的报文中获得活动主机的IP地址。
Port-scan的目的是获取活动主机开放哪些服务。攻击的方法一般是向 攻击对象发送大量端口变化的传输控制协议(Transfer Control Protocol, 以下简称TCP)/用户数据报协议(User Datagram Protocol,以下简称UDP) 报文,以期从回应的报文中获得活动主机开放的服务。前述的回应报文对应 于不同的攻击报文,例如如果攻击报文是TCP报文,则回应则是复位/同步 应答(Reset/ Synchronization ACK,简称RST/SYN ACK )才艮文;如果攻击 报文是UDP报文,则回应报文则是网间控制报文协议(Internet Control Messages Protocol,以下简称ICMP)端口不可达报文。
回应ICMP端口不可达报文的情况大致如下当一台计算机收到UDP报文 时,而该UDP报文的目的端口在该计算机上并没有使用,则该计算机会回应 ICMP端口不可达报文,在该并ICMP端口不可达报文中携带原始报文的前64
个字节。回应ICMP协议不可达报文的情况则是当一台计算机收到一个并非是 TCP协议或者UDP协议的报文时,而该报文的协议在该计算机上并不支持, 该计算机则会回应ICMP协议不可达报文,在该ICMP协议不可达4艮文中携带 原始"R文的前64个字节。回应TCP序号为0的RST报文的情况当一台计算机收到TCP同步(TCP SYN)报文时,而该TCP报文的目的端口在该计算机上并没有使用,则会回应 TCP复位(TCP RST)报文,该TCP报文的序号为0。IP扫描的防范方法是统计源IP向不同目的地址发起连接的速率。发起 连接的速率则通过在一定时间内通过采样而获取;即在源IP统计项中记录 当前采样时间段内该源IP发起连接的目的地址变化数,在前述的采样时间段 内,如果该源IP发起连接的目的地址变化数达到一设定的阈值,则标志发生 了攻击,此后,清除该采样时间段内纪录的IP地址,重新设置采样起始时间 和/或采样周期;若在新的采样周期内,该源IP发起连接的目的地址变化数 没有达到前述的阈值,也清除记录的IP地址。端口扫描的防范方法是统计源IP向不同端口发起连接的速率,发起连 接的速率则通过在一定时间内通过采样而获取;即在源IP统计项中记录当 前采样时间段内该源IP发起连接的目的端口变化数,在前述的采样时间段 内,如果该源IP发起连接的目的端口变化数达到一预设的阈值,则标志发生 了攻击,此后,清除该采样时间段内纪录的端口号,重新设置采样起始时间 和/或采样周期;若在新的采样周期内,该源IP发起连接的目的端口变化数 没有达到前述的阈值,也清除记录的端口号。当攻击发生后,源地址被加入到黑名单,从该地址发起的新连接将会被 丟弃。但是,前述现有的攻击检测方法存在着如下的缺点当攻击者利用多台计算机进行扫描攻击时,采用上述的方法就无法检查 出来;由于现有的监测方法利用的是速率统计的方式,因此,存在误报、漏
报的机率较大;即当攻击者调低扫描的速率后,使用前述的检测方法可能 就检测不出来了;再有就是,由于对时间精度要求较高,而且需要维护每个 会话信息,所以实现前述方法的复杂度较高。发明内容本发明的第 一个方面是通过一些实施例提供一种检测扫描攻击的方法, 其在预定的时间内依据端口或者协议攻击的次数有效地检测到扫描攻击,从 而降低误报率,降低扫描检测的实现难度。本发明的第二个方面是通过另一些实施例提供一种检测扫描攻击的设 备,其在预定的时间内依据端口或者协议攻击的次数有效地检测到扫描攻击, 从而降低误报率,降低扫描检测的实现难度。本发明第一个方面的一些实施例提供了如下的技术方案首先,解析收 到的报文信息,并记录该报文信息中的目的端口或者TCP源端口;然后,统 计前述目的端口或者TCP源端口在预定的时间内被记录的次数;当所述目的 端口或者TCP源端口被记录的次数达到预定的阈值时判定受到扫描攻击。本发明前述的实施例根据目的端口或者TCP源端口在预定的时间内被记 录的次数来判断是否遇到扫描攻击。具体地说其根据收到的ICMP端口不可 达的报文数来判断其是否正在UDP端口扫描攻击,或者根据收到的序号为"0" 的TCP RST报文数来判断是否遭受TCP端口扫描攻击。因此,与现有检测扫 描攻击的技术相比,能够更加准确地反映检测的结果,其在具体实现上也比 较容易。本发明第一个方面的又一些实施例还提供了如下的技术方案首先,解 析收到的报文信息,并记录该报文信息中的DIP;然后,统计该DIP在预定 的时间内被记录的次数;当所述DIP被记录的次数达到预定的阈值时判定受 到扫描攻击。本发明前述第一方面又一些的实施例根据报文中一定网段中DIP在预定的时间内被记录的次数来判断是否遇到扫描攻击,具体地说其根据收到ICMP 端口不可达、协议不可达报文和序号为"0"的TCPRST报文数来判断目的区 域网段是否遭受地址扫描攻击。因此,与现有检测扫描攻击的技术相比,能 够更加准确地反映检测的结果,也降低了具体实现上难度。本发明第二个方面的一些实施例提供了如下设备的技术方案该设备包括用于解析收到的报文信息,并记录该报文信息中的目的端口或者TCP源 端口的第一单元;用于统计目的端口或者TCP源端口在预定的时间内被记录 次数的第二单元;以及用于在所述目的端口或者TCP源端口被记录的次数达 到预定的阈值时判定受到扫描攻击的第三单元。本发明第二个方面的设备根据目的端口或者TCP源端口在预定的时间内 被记录的次数来判断是否遇到扫描攻击,与现有检测扫描攻击的技术相比, 能够更加准确地反映检测的结果,其在具体实现上也比较容易。本发明第二个方面的另 一些实施例还提供了如下设备的技术方案该设 备包括用于解析收到的报文信息,并记录前述报文信息中的DIP地址的第 一部件;用于统计该DIP在预定的时间内被记录的次数的第二部件;用于在 DIP被记录的次数达到预定的阈值时判定受到扫描攻击的第三部件。本发明前述第二方面另一些的设备根据报文中一定网段中DIP在预定的 时间内被记录的次数来判断是否遇到扫描攻击,与现有检测扫描攻击的设备 相比,能够更加准确地获得4全测的结果,也降低了具体实现上难度。总之,本发明前述各个方面的各个实施例具有如下的优点1、 可以有效地设置需要保护的范围,可以是一个网段,也可以是一个主机;2、 由于检查的报文少了,而且不需要维护会话信息,因此,在性能上更有优势;3、 实现方法上要比现有技术更为筒单,实现的成本低;4、 能够检查出利用多台PC来发起扫描攻击的行为,检测的有效性更高。 下面通过具体的实施方式,对本发明的内容做进一步的详细描述。
图1为本发明第一个方面第一个实施例的流程示意图; 图2为本发明第一个方面第二个实施例的流程示意图; 图3为本发明第一个方面第三个实施例的流程示意图。 图4为对不可达报文的格式进行简要的说明。
具体实施方式
参见图4,在详述本发明各个实施例之前,有必要对ICMP地址不可达报 文的格式进行简要的说明通常, 一个ICMP地址不可达报文中包含有图4所 示的各个报文内容IP才艮文头,其中包括源IP地址(SIP)和目的IP地址(DIP);ICMP报文头,对于不可达报文而言,其类型(Type)值为3;代码(Code ) 值为2、 3时,分别表示协议不可达、端口不可达;原始IP"R文头,其中包括原始源IP地址(0-SIP)、原始目的IP地 址(0-DIP)和原始协议(0-Protocol);原始IPUDP报文头,其中包括原始IP报文的源端口 (0-SPORT)目的 端口 (0-DPORT)。第一方面的实施例参见图l,其为根据收到的ICMP端口不可达的报文数来判断是否存在UDP 端口扫描攻击的^r测方法的实例。首先,解析收到的ICMP端口不可达报文,根据该报文中的SIP查找IP 统计表与该SIP对应的表项;如果找到,则记录该报文的DIP;如果找不到 该IP统计表的表项,则在IP统计表中为该报文的SIP创建一个IP统计表的 表项,并给该表项分配一个UDP端口队列及DIP。需要说明的是前述的IP
统计表存储于冲企测扫描攻击设备之中,其中的表项包括SIP、 DIP以及相对应 的端口等信息。在进行检测的时候,如果该IP统计表中不存在前述的表项, 就应当为其创建一个,以便于进行后续的处理。然后,对前述ICMP端口不可达报文中携带的原始IP报文信息进行解析, 从中获得0—DP0RT,再根据该0-DPORT对IP统计表中相应表项的端口队列中 对应的位置进行置位。事实上,前述端口队列中对应的位置是一个状态信息, 它可以用一个"状态位,,来表示。因此对该"状态位"进行置位,就表示检 测到一个相应的报文。相应地,如果被置位的"状态位"越多,意味着检测 到相应的报文的个数也越多。另外,除了通过前述所谓"置位"的方式来累计一定时间内检测到相应 的报文的个数之外,还可以通过其他的方式来累计;例如设置一个计数器, 当检测到前述相应的报文时,就对计数器中的数值进行累加,同样也可以获 得累计一定时间内检测到相应的报文的个数的效果。除此之外可能还存在其 他更多的累计方式,在此不再赘述,所属领域技术人员完全可以依据其熟知 的技术手段实现前述的累计或者累加工作。在一个预定的时间段内,对前述端口队列中记录的置位数量进行统计, 就可以获得报文的频率。而当该数量达到一个事先设定的阈值时,也就是说 获得报文的频率达到一个限度值,表明检测到UDP端口扫描攻击,这时,前 述IP统计表的表项中所记录的DIP就是发起扫描攻击的IP地址。如前所述的DIP可以在统计、置位时同时记录,也可以不记录,而记录 的好处在于可以在后续的处理中进一步使用该DIP信息。当检测到前述的扫描攻击后,进行告警是必要的;告警的方式可以通过 输出告警日志来实现,或者发送相关的告警消息。具体的告警方式,所属领 域技术人员完全可以依据其掌握的各种技术知识加以实现,在此不再赘述。4企测到前述的扫描攻击后,还可以进一步删除该IP统计表的相应表项, 或者将该表项中置位的"状态位,,清除,以供后续继续检测。
冲企测到前述的扫描攻击后,还可以将前述记录的DIP添加到黑名单中, 以利于防火墙等安全设备屏蔽来自该DIP地址的攻击。如果在一个设定的时间内没有收到前述ICMP端口不可达报文时,说明没 有受到扫描攻击,这时也需要删除前述IP统计表的相应表项,或者将该表项 中置位的"状态位"清除。另外,为了更快、更准确地4企测到攻击,也可以#>据前述SIP和DIP来 查找IP统计表中的相应表项。即使用一个SIP和一个DIP对应一个端口队 列。利用前述的方法,由于是对被攻击IP地址设备发出的报文进行检测,并 对攻击报文的数量进行统计,而无论攻击来自何方,因此,不仅可以检测出 攻击者利用 一台设备进行攻击的情况,更可以检测出利用多台设备进行端口 扫描攻击的行为,即使攻击行为来自多个IP地址,也可以使用上述的方法检 测到,因此检测的有效性明显高于现有技术。此外,由于仅仅;险测被攻击对 象的返回报文,本发明前述各个具体方案的实现复杂性较低。第一方面的另一些实施例参见图2,其为根据收到的序号为"0"的TCP RST报文数来判断是否遭 受TCP端口扫描攻击的检测方法的实例。首先,解析收到的TCPRST报文,如果该报文的序号为"0",则根据该 报文中的SIP查找IP统计表与该SIP对应的表项,如果找到,则记录该报文 的DIP;如果找不到该IP统计表的表项,则在IP统计表中为该^^艮文的SIP 创建一个IP统计表的表项,并给该表项它分配一个TCP端口队列,并记录该 报文的DIP。需要说明的是前述的IP统计表存储于检测扫描攻击设备之中, 其中的表项包括SIP、 DIP以及相对应的端口等信息。在进行检测的时候,如 果该IP统计表中不存在前述的表项,就应当为其创建一个,以便于进行后续 的处理。然后,获取该报文的TCP源端口,并对IP统计表对应表项的端口队列中
对应的位置进行置位。前述端口队列中对应的位置是一个状态信息,它可以 用一个"状态位,,来表示。因此对该"状态位"进行置位,就表示检测到一 个相应的报文。相应地,如果被置位的"状态位"越多,意味着检测到相应 的报文的个数也越多。在一个预定的时间段内,对前述端口队列中记录的置位数量进行统计, 就可以获得接收报文的频率。而当该数量达到一个事先设定的阈值时,也就是说获得报文的频率达到一个限度值,表明检测到端口扫描攻击,这时, 前述IP统计表的表项中所记录的DIP就是发起扫描攻击的主机的IP地址。如前所述的DIP可以在统计、置位时同时记录,也可以不记录,而记录 的好处在于可以在后续的处理中进一步使用该DIP信息。当检测到前述的扫描攻击后,进行告警是必要的;告警的方式可以通过 输出告警日志来实现,或者发送相关的告警消息。具体的告警方式,所属领 域技术人员完全可以依据其掌握的各种技术知识加以实现,在此不再赘述。检测到前述的扫描攻击后,还可以进一步删除该IP统计表的相应表项, 或者将该表项中置位的"状态位"清除,以供后续继续检测。检测到前述的扫描攻击后,还可以将前述记录的DIP添加到黑名单中, 以利于防火墙等安全设备屏蔽来自该DIP地址的攻击。如果在一个设定的时间内没有收到前述序号为"0"的TCP RSI^艮文时, 说明没有受到扫描攻击,这时也需要删除前述IP统计表的相应表项,或者将 该表项中置位的"状态位"清除。另外,为了更快、更准确地检测到攻击,也可以根据前述SIP和DIP来 查找IP统计表中的相应表项。即使用一个SIP和一个DIP对应于一个端口 队列。利用前述的方法,由于是对被攻击IP地址设备发出的报文进行检测,并 对攻击报文的数量进行统计,而无论攻击来自何方,因此,不仅可以检测出 攻击者利用一台设备进行攻击的情况,更可以检测出利用多台设备进行端口
扫描攻击的行为,即使攻击行为来自多个IP地址,也可以使用上述的方法枱r 测到,因此检测的有效性明显高于现有技术。此外,由于仅仅检测被攻击对 象的返回报文,本发明前述各个具体方案的实现复杂性较低。本发明第 一方面的又一些实施例对于IP地址扫描攻击的纟企测,与前述对于端口扫描实施例存在着一定的 区别,但是其技术方案的核心依然是在预定的时间内对攻击报文数进行统计; 具体的实施例如下参见图3,当收到ICMP端口不可达报文、协议不可达报文或者序号为"0" 的TCP RST报文时,根据报文的SIP查找IP网段统计表与该SIP对应的表项, 然后将报文的DIP记录到前述IP网段统计表与该SIP对应的表项中,并对该 表项地址队列中该DIP所对应的位置进行置位。与前述各个实施例相同的是 当找不到IP网段统计表与该SIP对应的表项时,则创建一个IP网段统计表 与该SIP对应的表项,并为该表项分配一个地址队列,以便于进行后续的处 理。前述该表项地址队列中该DIP所对应的位置同样也是一个状态信息,它 可以用一个"状态位,,来表示。因此对该"状态位,,进行置位,就表示检测 到一个相应的报文。相应地,如果被置位的"状态位"越多,意味着4企测到 相应的报文的个数也越多。在一个预定的时间段内,对前述地址队列中记录的置位数量进行统计, 就可以获得接收报文的频率。当地址队列中被置位的位置个数达到阈值时, 也就是说获得报文的频率达到一个限度值,则认为发生了所谓的地址扫描 攻击,对应地,前述IP网段统计表所记录的IP地址就是发起攻击主机的IP 地址。当检测到攻击后,进行告警是必要的,告警的方式可以通过输出告警日 志来实现,或者发送相关的告警消息。具体的告警方式,所属领域技术人员 完全可以依据其掌握的各种技术知识加以实现,在此不再赘述。
检测到前述的地址扫描攻击后,还可以进一步删除该IP统计表的相应表 项,或者将该表项中置位的"状态位"清除,以供后续继续检测。;险测到前述的扫描攻击后,还可以将前述记录的攻击主才几的IP地址添加 到黑名单中,以利于防火墙等安全设备屏蔽来自该IP地址的攻击。另外,为了更快、更准确地检测到攻击,也可以根据前述SIP和DIP来 查找IP统计表中的相应表项。即使用一个SIP和一个DIP对应于一个端口 队列。利用上述的方法,由于是对被攻击IP地址设备发出的报文进行;险测,并 对攻击报文的数量进行统计,而无论攻击来自何方,因此,不仅可以4佥测出 攻击者利用 一台设备进行攻击的情况,更可以检测出利用多台设备进行地址 扫描攻击的行为,即使攻击行为来自多个IP地址,也可以使用上述的方法检 测到,因此检测的有效性明显高于现有技术。此外,由于仅仅检测被攻击对 象的返回报文,本发明前述各个具体方案的实现复杂性较低。基于上述的各个实施例,本领域普通技术人员可以理解实现上述方法 实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序 可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方 法实施例的步骤;而前述的存储介质包括静态存储器UOM)、动态存储器 (RAM)、 i兹碟或者光盘等各种可以存储程序代码的介质。本发明第二方面的 一 些实施例本发明第二方面的 一些实施例提供了如下的 一种检测扫描攻击的设备, 该设备包括第一单元,用于解析收到的报文信息,并记录前述报文信息中的目的端 口或者TCP源端口;该第一单元具体包括用于存储IP统计表的模块,用于 解析ICMP端口不可达报文或者TCP RST报文的模块,用于根据ICMP端口不 可达报文或者TCP RST报文中的SIP或者SIP和DIP,访问用于存储IP统计 表的模块,并在IP统计表中查找对应表项的模块,以及用于根据SIP,对IP 统计表中相应的状态信息置位的模块;该状态信息对应于表项中端口队列相 应的目的端口。为了在找不到IP统计表中相应表项时创建该表项,并对相应 表项中的位置进行置位,或者记录相关的SIP、 DIP,在该第一单元中还可以 设置用于维护IP统计表的模块;该用于维护IP统计表的模块根据SIP或者 SIP和DIP创建该对应的表项,并为该对应的表项分配UDP端口队列及DIP。该设备还包括用于统计目的端口或者TCP源端口在预定的时间内^皮记 录的次数的第二单元,和用于在目的端口或者TCP源端口被记录的次数达到 预定的阈值时告警的第三单元。需要说明的是上述各个单元实现其功能时,采用与前述本发明第一方 面的一些实施例的方法,其具体解析报文、置位等操作过程,在此不再赘述。本发明第二方面的另 一些实施例提供了如下的一种检测扫描攻击的设 备,该设备包括第一部件,用于解析收到的报文信息,并记录报文信息中的DIP地址; 该第一部件具体包括用于存储IP网段统计表的模块,用于根据ICMP端口 不可达报文、协议不可达报文或者序号为"0"的TCPRST报文中的SIP或者 SIP和DIP,在IP网段统计表中查找对应表项的模块,用于对IP网段统计表 中相应的状态信息置位的模块,该状态信息对应于表项中IP地址队列的一个 地址。为了在找不到IP网段统计表中相应表项时创建该表项,并对相应表项 中的位置进行置位,或者记录相关的SIP、 DIP,在该第一部件中还可以设置 用于维护IP网段统计表的模块;该用于维护IP网段统计表的模块根据SIP 或者SIP和DIP创建该对应的表项,并为该对应的表项分配IP地址队列。该设备还包括用于统计DIP在预定的时间内被记录的次数的第二部件, 以及用于在DIP被记录的次数达到预定的阈值时告警的第三部件。需要说明的是上述各个部件实现其功能时,采用与前述本发明第一方 面的一些实施例的方法,其具体解析报文、置位等操作过程,在此不再赘述。最后应说明的是以上各个实施例仅用以说明本发明的技术方案而非对 本发明进行限制,尽管参照上述各个实施例对本发明的主要技术方案进行了详细说明,本领域的普通技术人员应当理解其依然可以在本发明前述各个 实施例的技术方案基础上进行修改或者等同替换;而这些修改或者等同替换 并不脱离本发明各个实施例所揭示的技术方案的精神和范围。
权利要求
1、 一种纟全测扫描攻击的方法,其特征在于,包括解析收到的报文信息,并记录报文信息中的目的端口或者TCP源端口信自 统计所述不同目的端口或者不同的TCP源端口在预定的时间内被记录的 次数之和;当所述目的端口或者TCP源端口被记录的次数之和达到预定的阈值时, 判定受到扫描攻击。
2、 根据权利要求1所述的方法,其特征在于所述解析收到的报文信息, 并记录所述才艮文信息中的目的端口信息具体包括解析收到的ICMP端口不可达报文;根据所述ICMP端口不可达报文中的外层SIP,或者SIP和DIP在IP统计表中查找对应的表项;根据所述ICMP端口不可达报文中携带的原始IP报文信息中的目的端口 信息,对所述IP统计表中相应的状态信息置位,该状态信息对应于所述表项 中端口队列相应的目的端口 。
3、 根据权利要求2所述的方法,其特征在于,还包括在IP统计表中 查找不到对应的表项时,根据所述SIP或者SIP和DIP创建该对应的表项, 并为该对应的表项分配UDP端口队列及DIP。
4、 根据权利要求1所述的方法,其特征在于所述解析收到的报文信息, 并记录所述"^艮文信息中的TCP源端口具体包括解析收到的TCP RST报文,且当所述TCP RS1^艮文的序号为"0"时,根 据所述TCP RST报文中的SIP,或者SIP和DIP,在IP统计表中查找对应的表项;根据所述TCP RST报文中的TCP源端口 ,对所述IP统计表中相应的状态 信息置位,该状态信息对应于所述表项中端口队列相应的TCP源端口 。
5、 根据权利要求4所述的方法,其特征在于,还包括在IP统计表中 查找不到对应的表项时,根据所述SIP或者SIP和DIP创建该对应的表项, 并为该对应的表项分配TCP端口队列及DIP。
6、 根据权利要求2、 3、 4或5所述的方法,其特征在于所述统计所述 目的端口在预定的时间内被记录的次数具体是;在预定的时间内统计所述IP 统计表中被置位的相应的状态信息的个数。
7、 一种检测扫描攻击的设备,其特征在于,包括第一单元,用于解析收到的报文信息,并记录所述报文信息中的目的端 口或者TCP源端口信息;第二单元,用于统计所述不同的目的端口或者TCP源端口在预定的时间 内被记录的次数之和;第三单元,用于在所述目的端口或者TCP源端口被记录的次数之和达到 预定的阈值时判定受到扫描攻击。
8、 根据权利要求7所述的设备,其特征在于,所述第一单元具体包括 用于存储IP统计表的模块;用于解析ICMP端口不可达报文或者TCP RST报文的模块;用于才艮据所述ICMP端口不可达才艮文或者TCP RST >^艮文中的SIP或者SIP和DIP,访问所述用于存储IP统计表的模块,并在IP统计表中查找对应表项的模块;用于根据所述SIP,对所述IP统计表中相应的状态信息置位的模块;该 状态信息对应于所述表项中端口队列相应的目的端口 。
9、 根据权利要求7或8所述的设备,其特征在于,所述第一单元还包括 用于维护IP统计表的模块;所述用于维护IP统计表的模块根据所述SIP或 者SIP和DIP创建该对应的表项,并为该对应的表项分配UDP端口队列及DIP 。
10、 一种检测扫描攻击的方法,其特征在于,包括 解析收到的报文信息,并记录所述报文信息中的DIP; 统计所述不同的DIP在预定的时间内^皮记录的次it之和; 当所述DIP被记录的次数之和达到预定的阈值时,判定受到扫描攻击。
11、 根据权利要求10所述的方法,其特征在于所述解析收到的报文信 息,并记录所述报文信息中的DIP具体包括根据ICMP端口不可达报文或/和协议不可达报文或者序号为"0"的TCP RST报文中的SIP或者SIP和DIP,在IP网段统计表中查找对应的表项;对所述IP网段统计表中相应的状态信息置位,该状态信息对应于所述表 项中IP地址队列的 一个地址。
12、 根据权利要求11所述的方法,其特征在于,还包括在IP网段统 计表中查找不到对应的表项时,根据所述SIP或者SIP和DIP创建该对应的 表项,并为该对应的表项分配IP地址队列。
13、 根据权利要求IO、 11或12所述的方法,其特征在于所述统计所 述不同的目的IP在预定的时间内被记录的次数之和具体是;在预定的时间内 统计所述IP网段统计表中被置位的相应的状态信息的个数。
14、 一种检测扫描攻击的设备,其特征在于,包括-.第一部件,用于解析收到的报文信息,并记录所述报文信息中的DIP地址;第二部件,用于统计所述不同DIP在预定的时间内被记录的次数之和; 第三部件,用于在所述DIP被记录的次数达到预定的阈值时,判定受到 扫描攻击。
15、 根据权利要求14所述的设备,其特征在于所述第一部件具体包括 用于存储IP网段统计表的模块;用于根据ICMP端口不可达报文、协议不可达报文或者序号为"0"的TCP RST报文中的SIP或者SIP和DIP,在所述IP网段统计表中查找对应表项的 模块;用于对所述IP网段统计表中相应的状态信息置位的模块,该状态信息对应于所述表项中IP地址队列的 一个地址。
16、根据权利要求15所述的设备,其特征在于,所述第一部件还包括 用于维护IP统计表的模块;所述用于维护IP统计表的模块根据所述SIP或 者SIP和DIP创建该对应的表项,并为该对应的表项分配IP地址队列的模块。
全文摘要
本发明通过若干实施例公开了一种检测扫描攻击的方法和设备,其解析收到的报文信息,并记录报文信息中的目的端口或者IP地址信息;统计目的端口或者IP地址在预定的时间内被记录的次数;当目的端口或者IP地址被记录的次数达到预定的阈值时判定受到扫描攻击。本发明的设备,包括解析收到的报文信息,并记录目的端口或者IP地址的第一单元,用于统计目的端口或者IP地址在预定的时间内被记录的次数的第二单元,以及用于在目的端口或者IP地址被记录的次数达到预定的阈值时判定受到扫描攻击的第三单元。本发明各个实施例的技术方案在预定的时间内依据端口或者协议攻击的次数有效地检测到扫描攻击,从而降低了误报率以及扫描检测的实现难度。
文档编号H04L12/56GK101123492SQ20071012143
公开日2008年2月13日 申请日期2007年9月6日 优先权日2007年9月6日
发明者施鸿殊 申请人:杭州华三通信技术有限公司