专利名称:一种基于tcp报文的ip路径主动测量方法
技术领域:
本发明涉及一种基于TCP报文的IP路径主动测量方法。
背景技术:
以主动测量方式探测网络拓扑路径主要是采用类似traceroute的方法,首先,从 测量源点S向某个测量目标D发出TTL = 1的探测报文,收到返回的ICMP超时报文,或者 等待预先给定的时间、(例如5秒)后,再发出TTL = 2的报文,依此类推,直到收到探测 目标返回的表明到达目标的报文,或者TTL增长到预先给定阈值(例如30)。这时针对测量 目标D的路径探测过程结束。根据依次返回的报文中所包含的源IP地址,从而得到从测量 源点S到测量目标D的拓扑路径。传统上,采用TCP报文探测时,同一测量源点都采用目的 端口为80的SYN(这是TCP报文首部的一个标志位)报文,结果导致被检测出测量路径的 行为或多点测量时被认为是SYN flood攻击行为而被过滤,即这种方法的探测报文容易被 识别为测量路径的行为或攻击行为,从而破坏了对路径测量的完整性。
发明内容
本发明的目的是提供一种基于TCP报文的IP路径主动测量方法。这种IP路径主 动测量方法在路由器的基于目的网络地址的负载平衡和基于流的负载平衡机制的影响的 情况下,发送的探测报文是具有熟知端口的混合类型的TCP报文,使探测报文抗识别和过 滤,从而保证了路径测量的完整性。上述的目的通过以下的技术方案实现一种基于TCP报文的IP路径主动测量方法,包括以下步骤步骤1,针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口 ;步骤2,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一 项,作为TCP探测报文首部中的控制比特;步骤3,按协议的规定填充TCP报文首部和IP报文首部字段,包括在TCP首部的序 列号字段和IP首部的标识字段记录对应的进程信息和探测报文编号,后发出该探测报文;步骤4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处 理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理。所述的一种基于TCP报文的IP路径主动测量方法,所述的控制比特的集合为 {ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG, SYN, SYN+PSH, SYN+URG} 或其子集合。 上述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地 址D,选取TCP报文首部中的目的端口,是针对目标地址D,从规定的熟知端口区间1至1023 中选择一个TCP服务端口,作为探测报文的目的端口,在一个测量源点,对同一目标地址D, 目的端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的目的端口 保持不变。
所述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地 址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的端口号区间1至65535中 选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟知端口,作为探测报文的 源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则该测量源点发出的针对同 一目标地址D的所有探测报文的源端口保持不变。所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内收到响应 报文则根据响应报文类型实施对响应报文的处理是a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,对 通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报 文首部中的控制比特,继续探测;b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或 者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探 测。所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内没有收到 响应报文则实施等待时间超时处理是若探测还没有达到预定跳数的阈值,则对通向同一 目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中 的控制比特,继续探测,否则,中止针对该目标地址的探测。本发明有益效果1、本发明权利要求1中的步骤2以及权利要求2使得发送TCP探测报文时,通向 同一目标地址D的各跳探测报文中的控制比特随机选择,这样避免了已有技术中来自同一 测量源点都采用SYN类型报文导致被检测出测量路径的行为或多点测量时被认为是SYN flood攻击行为而被过滤,即本方法的探测报文不易被识别为测量路径的行为或攻击行为, 增加了过滤难度,从而对路径测量的完整性提供了保证。2、本方法中,权利要求1中的步骤1以及权利要求3使得对不同的测量目标地址, 探测报文的目的端口从熟知端口区间1至1023中选择,即与已有技术采用80端口相比, 可以采用非80端口作为目的端口,使不同的目标地址其目的端口可以不同,扩展了测量空 间,降低了被识别为测量路径的行为或攻击行为的程度,并增强了探测能力;权利要求1中 的步骤1以及权利要求5使得源端口可以选择低于10000的端口号,甚至是本测量源点主 机没有启动TCP服务的熟知端口,与已有技术中只采用高端口相比也降低了被认为是测量 行为或攻击行为的程度。3、本方法也考虑了路由器的基于目的网络地址的负载平衡和基于流的负载平衡 机制对探测路径的影响,针对某一目标地址D的各跳探测报文中的源端口和目的端口不 变,保证通向同一测量目标的探测报文的路径同一性。本发明的
具体实施例方式实施例1 一种基于TCP报文的1P路径主动测量方法,发送TCP报文作为探测报文针对某 一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口 179作为探测报文 的目的端口。选择低于10000的、本测量源点主机未启动TCP服务的端口 8087作为探测报 文的源端口。
对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK, FIN+ACK, PSH+ACK, URG+ACK, FIN, FIN+PSH, FIN+URG, SYN, SYN+PSH, SYN+URG}或其子集合中选取一 项,作为TCP探测报文首部中的控制比特。例如,第一个探测报文选择了 FIN作为控制比特,第二个探测报文选择了 ACK作为 控制比特,第三个探测报文选择了 SYN+ACK作为控制比特,第四个探测报文选择了 SYN+URG 作为控制比特,第五个探测报文选择了 FIN+ACK作为控制比特,......,等等。填充TCP报文首部和1P报文首部字段后发出探测报文。在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数 的阈值30,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或 者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探 测。在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值30, 则继续探测;如果探测达到预定跳数的阈值30,则中止针对该目标地址的探测。实施例2 一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文针对某 一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口 110作为探测报文 的目的端口。选择本测量源点主机没有启动TCP服务的熟知端口 25作为探测报文的源端对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK, FIN+ACK, PSH+ACK, URG+ACK, FIN, FIN+PSH, FIN+URG, SYN, SYN+PSH, SYN+URG}的子集合{FIN+ACK, SYN+ACK}中选取一项,例如本次选取了 SYN+ACK,作为通向同一目标地址D的TCP探测报文 首部中的控制比特。填充TCP报文首部和1P报文首部字段后发出探测报文。在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数 的阈值30,则继续探测。实施例3 一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文针对某 一目标地址D,从熟知端口区间1至1023中选择提供TCP服务熟知端口 23作为探测报文的 目的端口。选择高于10000的端口号32777作为探测报文的源端口。对通向同一目标地址D的每个(包括每跳)探测报文,随机地从集合{ACK, SYN+ACK, FIN+ACK, PSH+ACK, URG+ACK, FIN, FIN+PSH, FIN+URG, SYN, SYN+PSH, SYN+URG}的 子集合{FIN+ACK}中选取一项,例如本次选取了 FIN+ACK,作为通向同一目标地址D的TCP 探测报文首部中的控制比特。填充TCP报文首部和IP报文首部字段后发出探测报文。在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数 的阈值33,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或 者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探 测。在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值33,则继续探测;如果探测达到预定跳数的阈值33,则中止针对该目标地址的探测。
权利要求
一种基于TCP报文的IP路径主动测量方法,其特征是,包括以下步骤步骤1,针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口;步骤2,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特;步骤3,按协议的规定填充TCP报文首部和IP报文首部字段,包括在TCP首部的序列号字段和IP首部的标识字段记录对应的进程信息和探测报文编号,后发出该探测报文;步骤4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理。
2.根据权利要求1所述的一种基于TCP报文的IP路径主动测量方法,其特征是所述 的控制比特的集合为{ACK,SYN+ACK, FIN+ACK, PSH+ACK, URG+ACK, FIN, FIN+PSH, FIN+URG, SYN, SYN+PSH, SYN+URG}或其子集合。
3.根据权利要求1或2所述的一种基于TCP报文的IP路径主动测量方法,其特征是 所述的针对给定的探测目标地址D,选取TCP报文首部中的目的端口,是针对目标地址D,从 规定的熟知端口区间1至1023中选择一个TCP服务端口,作为探测报文的目的端口,在一 个测量源点,对同一目标地址D,目的端口 一旦选定,则该测量源点发出的针对同一目标地 址D的所有探测报文的目的端口保持不变。
4.根据权利要求1或2所述的一种基于TCP报文的IP路径主动测量方法,其特征是 所述的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规 定的端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务 的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口 一旦选 定,则该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
5.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是所述 的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的 端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟 知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则 该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
6.根据权利要求1或2或5所述的一种基于TCP报文的IP路径主动测量方法,其特征 是所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是a该响应报文是“ ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利 要求1中的步骤2继续探测;b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控 制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
7.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是所述 的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是a该响应报文是“ ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利 要求1中的步骤2继续探测;b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控 制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
8.根据权利要求4所述的一种基于TCP报文的IP路径主动测量方法,其特征是所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利 要求1中的步骤2继续探测;b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控 制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
9.根据权利要求1或2或5或7或8所述的一种基于TCP报文的IP路径主动测量方 法,其特征是所述的在给定时间内没有收到响应报文则实施等待时间超时处理是若探 测还没有达到预定跳数的阈值,则转权利要求1中的步骤2继续探测,否则,中止针对该目 标地址的探测。
10.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是所 述的在给定时间内没有收到响应报文则实施等待时间超时处理是若探测还没有达到预定 跳数的阈值,则转权利要求1中的步骤2继续探测,否则,中止针对该目标地址的探测。
全文摘要
一种基于TCP报文的IP路径主动测量方法,已有技术的探测报文容易被识别为测量路径行为或攻击行为而被过滤,从而破坏了路径测量的完整性。本发明的方法包括针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,填充TCP报文首部和IP报文首部字段后发出该探测报文。如果在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;在给定时间内没有收到响应报文,则实施等待时间超时处理。本发明用于IP网络中抗过滤的测量方法。
文档编号H04L12/26GK101877654SQ200910071900
公开日2010年11月3日 申请日期2009年4月28日 优先权日2009年4月28日
发明者任健, 姜誉, 方滨兴 申请人:黑龙江大学