网络层ddos攻击源识别方法、装置及系统的制作方法

网络层ddos攻击源识别方法、装置及系统的制作方法
【专利摘要】本发明提供一种网络层DDOS攻击源识别方法，包括：检测服务器在监测到第一服务器受到DDOS攻击时，从第一服务器获取DDOS攻击包，提取DDOS攻击包中的攻击源IP地址与攻击源IP地址的TTL值；向第二服务器发送包含攻击源IP地址的探测指令；接收第二服务器根据探测指令返回的探测响应包，提取探测响应包中的探测源IP地址与探测源IP地址的TTL值；以及判断攻击源IP地址的TTL值与探测源IP地址的TTL值的差值是否大于预置值，若是，则确定攻击源IP地址为伪造的IP地址，若否，则确定攻击源IP地址为真实的IP地址。此外，本发明还提供一种网络层DDOS攻击源识别装置及系统。上述网络层DDOS攻击源识别方法、装置及系统可快速而有效地识别网络层DDOS攻击源。
【专利说明】
网络层DDOS攻击源识别方法、装置及系统

【技术领域】
[0001]本发明涉及计算机通信【技术领域】，尤其涉及一种网络层DDOS攻击源识别方法、装置及系统。

【背景技术】
[0002]DOS (Denial of Service，拒绝服务)攻击，是指一种可造成服务器无法提供正常服务的攻击。最常见的DOS攻击有网络带宽攻击和连通性攻击。其中带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击服务器，使得所有可用的操作系统资源都被消耗殆尽，最终服务器无法再处理合法用户的请求。
[0003]DDOS (Distributed Denial of Service,分布式拒绝服务)攻击是指借助于客户端/服务器技术，将多个客户端联合起来作为攻击平台，对一个或多个目标发动DOS攻击。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个客户端上，主控程序在预设时间与大量安装在互联网上的多个客户端中的多个代理程序进行通讯，利用客户端/服务器技术，主控程序在几秒钟内激活成百上千次代理程序使其发动攻击，从而可成倍地提高DOS攻击的威力。
[0004]按攻击所针对的网络层次可以把DDOS攻击分为网络层DDOS (Net-DDOS)攻击和App-DDOS攻击。其中Net-DDOS攻击主要是利用了现有的低层(包括IP层和TCP层)协议的漏洞来发动攻击，典型的攻击方式包括使用伪造IP地址的攻击节点向目标主机发送大量攻击分组，例如:TCP (Transmiss1n Control Protocol,传输控制协议)分组、ICMP(Internet Control Messages Protocol,因特网信报控制协议)分组、UDP (User DatagramProtocol，用户数据报协议)分组等，利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表而消耗非常多的CPU (Central Processing Unit,中央处理器)和内存资源，最终因为堆栈溢出而导致系统崩溃无法为正常用户提供服务。网络层DDOS攻击基于其协议特性，在不需要与服务器建立可靠连接的情况下发送大量数据包，使得在攻击溯源方面存在较大的难度。目前业界一般的方法是借助与运营商的合作，在城域网、骨干网的出口路由器上进行流量的来源追踪，以确定出攻击源的真假。然而，运营商的路由设备一般采用基于流的统计计数方式，这种统计计数方式对于大流量的DDOS统计有效，但是对于分布式的小流量DDOS攻击则无效，无法有效追踪到小流量DDOS攻击的真实攻击来源。


【发明内容】

[0005]有鉴于此，本发明提供一种网络层DDOS攻击源识别方法、装置及系统，可快速而有效地识别网络层DDOS攻击源的真伪。
[0006]一种网络层DDOS攻击源识别方法，包括:检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值；向第二服务器发送包含所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测；接收所述第二服务器根据所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值；以及判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
[0007]—种网络层DDOS攻击源识别方法，包括:检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值；所述检测服务器向第二服务器发送包含所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测；所述第二服务器根据所述探测指令，对所述攻击源IP地址进行探测，从所述攻击源IP地址对应的终端获取探测响应包，并将所述探测响应包发送给所述检测服务器；以及所述检测服务器提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值，判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
[0008]一种网络层DDOS攻击源识别装置，应用于检测服务器，其特征在于，包括:DD0S攻击包获取与分析模块，用于在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值；探测指令发送模块，用于向第二服务器发送包含所述DDOS攻击包获取与分析模块分析获得的所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测；探测响应包分析模块，用于接收所述第二服务器根据所述探测指令发送模块发送的所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值；判断模块，用于判断所述DDOS攻击包获取与分析模块分析获得的所述攻击源IP地址的TTL值与所述探测响应包分析模块分析获得的所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
[0009]一种网络层DDOS攻击源识别系统，其特征在于，包括:如权利要求6至9中的任一项所述的检测服务器、第一服务器、以及第二服务器；所述第一服务器用于根据所述检测服务器发送的获取DOOS攻击包的请求，将DDOS攻击包发送给所述检测服务器；所述第二服务器用于根据所述检测服务器发送的所述探测指令，对所述攻击源IP地址进行探测，从所述攻击源IP地址对应的终端获取探测响应包，并将所述探测响应包发送给所述检测服务器；其中，所述第二服务器与所述第一服务器同处于一个网络拓扑中。
[0010]在上述的网络层DDOS攻击源识别方法、装置及系统中，通过检测服务器在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0011]为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例， 并配合所附图式，作详细说明如下。

【专利附图】

【附图说明】
[0012]图1为本发明提供的网络层DDOS攻击源识别方法的应用环境图。
[0013]图2为本发明第一实施例提供的网络层DDOS攻击源识别方法的流程图。
[0014]图3为本发明第二实施例提供的网络层DDOS攻击源识别方法的流程图。
[0015]图4为本发明第三实施例提供的网络层DDOS攻击源识别方法的流程图。
[0016]图5为本发明第四实施例提供的检测服务器的结构示意图。
[0017]图6为本发明第五实施例提供的检测服务器的结构示意图。
[0018]图7为本发明第六实施例提供的网络层DDOS攻击源识别系统的示意图。

【具体实施方式】
[0019]为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明的【具体实施方式】、结构、特征及其功效，详细说明如后。
[0020]请参阅图1，所示为本发明提供的网络层DDOS攻击源识别方法的应用环境图。如图1所示，第一服务器101、第一服务器102、检测服务器103位于无线或有线网络中，通过该无线或有线网络，第一服务器101与第二服务器102分别与监测服务器103相互通信，上述第一服务器101、第一服务器102、以及检测服务器103 —起构成网络层DDOS攻击源识别系统100。可以理解的，第一服务器101也可以是作为客户端的个人计算机。攻击方设备集群200是由多台计算机构成的设备集群，攻击方设备集群200也位于无线或有线网络中，通过该无线或有线网络向第一服务器101发动DDOS攻击。
[0021]第一实施例
[0022]请参阅图2，所示为本发明第一实施例提供的网络层DDOS攻击源识别方法的流程图。如图2所示，该实施例描述的是检测服务器的处理流程，结合图1，本实施例提供的网络层DDOS攻击源识别方法包括以下步骤:
[0023]步骤21，检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0024]具体地，检测服务器103通过实时监控第一服务器101的数据流量信息监测第一服务器是否受到DDOS(Distributed Denial of Service,分布式拒绝服务)攻击，当监测到第一服务器101受到DDOS攻击时，也即监测到第一服务器101数据流量异常时，例如:出现大流量无用数据或第一服务器101上有大量等待的TCP(Transmiss1n Control Protocol,传输控制协议)连接等情况时，从第一服务器101获取DDOS攻击包，并对获取的DDOS攻击包进行分析，提取DDOS攻击包中的攻击源IP (Internet Protocol,网络协议)地址，以及攻击源IP地址的TTL (Time To Live，生存时间)值。
[0025]TTL是IP协议包中的一个值，由发送主机设置，用于防止数据包不断在IP互联网络上永不终止地循环，其最初的设想是确定一个时间范围，超过此时间就把包丢弃，由于每个路由器都至少要把TTL域减一，TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到O时,路由器决定丢弃该包,并发送一个ICMP (Internet Control MessagesProtocol,因特网信报控制协议)报文给最初的发送者。TTL的初值通常是系统缺省值，是包头中的8位的域。
[0026]步骤22，向第二服务器发送包含所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中。
[0027]具体地，检测服务器103选择与第一服务器101处于相同拓扑网络下的任意一台服务器作为第二服务器102，向该第二服务器102发送探测指令，该探测指令中包含步骤21中获取的DDOS攻击包中所包含的攻击源IP地址，用于指示第二服务器102对攻击源IP地址进行探测。
[0028]可以理解的，基于TTL的特性，第一服务器101与第二服务器102处于相同的拓扑网络下，也即第一服务器101与第二服务器102处于同一个交换机下，或IP地址邻近，如此才能确保第二服务器102对攻击源IP地址的探测结果具有可比性，进而确保DDOS攻击源识别的准确性。
[0029]步骤23，接收所述第二服务器根据所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值。
[0030]具体地，检测服务器接收第二服务器102根据探测指令返回的探测响应包，分析并获取该探测响应包中的探测源IP地址与所述探测源IP地址的TTL值。
[0031]步骤24，判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值。
[0032]具体地，结合操作系统TTL值的特性，例如windows操作系统的初始TTL值一般为128，Linux操作系统的初始TTL值一般为64，将攻击源IP地址的TTL值与探测源IP地址的TTL值的差值与预置值进行比较，判断攻击源IP地址的TTL值与探测源IP地址的TTL值的差值是否大于预置值。优选地，预置值为5。
[0033]由于TTL值能有效标志数据包的传输路径的特性，当攻击者使用随机源进行DDOS攻击时，虽然使用了伪造源地址进行攻击，但攻击者无法伪造攻击主机与目标主机之间的位置关系，不管攻击者如何伪造源IP地址，从同一个攻击源来的攻击数据包将由同一个路由路径到达受害者，因此通过对比攻击源IP地址的TTL值与探测源IP地址的TTL值识别DDOS攻击源的真伪，相对于现有技术中通过运营商的路由器上相关的信息表来层层追溯，更为高效。
[0034]若是，则执行步骤25:确定所述攻击源IP地址为伪造的IP地址。
[0035]可以理解的，由于探测响应包是第二服务器102从攻击源IP地址对应的终端获得，因此探测源IP地址与攻击源IP地址一致，探测源IP地址的TTL值是攻击源IP的真实TTL值。如果攻击源IP地址的TTL值与探测源IP地址的TTL值的差值大于预置值，则可确认该DDOS攻击包并不是由攻击源IP地址对应的终端发送的，攻击源IP地址为伪造的IP地址。
[0036]若否，则执行步骤26:确定所述攻击源IP地址为真实的IP地址。
[0037]本发明实施例提供的网络层DDOS攻击源识别方法，通过检测服务器在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0038]第二实施例
[0039]请参阅图3，所示为本发明第二实施例提供的网络层DDOS攻击源识别方法的流程图。如图3所示，该实施例描述的是第一服务器的处理流程，结合图1，本实施例提供的网络层DDOS攻击源识别方法包括以下步骤:
[0040]步骤31，检测服务器在监测到第一服务器受到DDOS攻击时，向所述第一服务器发送获取所有DOOS攻击包的请求。
[0041]步骤31具体请参考第一实施例的相应内容，此处不再赘述。
[0042]步骤32，接收所述第一服务器根据所述请求返回的所有DDOS攻击包。
[0043]具体地，第一服务器101根据检测服务器103发送的获取所有DOOS攻击包的请求，启动全量抓包，抓取当前所有的DOOS攻击包，并将抓取的所有的DOOS攻击包发送给检测服务器103。
[0044]步骤33，对所述所有DDOS攻击包进行DPI分析，分别获取所述所有DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0045]DPI (Deep Packet Inspect1n,深度包检测技术),是一种基于应用层的流量检测和控制技术，简单的说也即逐包进行分析、检测的技术。DPI检测技术为现有技术，此处不再赘述。
[0046]具体地，由于DDOS攻击检测服务器103利用DPI检测技术对接收到的第一服务器101返回的所有的DDOS攻击包进行分析，分别获取所有DDOS攻击包中的攻击源IP地址与攻击源IP地址的TTL值，提取出攻击源及其攻击TTL值的分布。
[0047]步骤34，向第二服务器发送包含所有所述攻击源IP地址的探测指令。
[0048]具体地，检测服务器103选择与第一服务器101处于相同拓扑网络下的任意一台服务器作为第二服务器102，向该第二服务器102发送探测指令，该探测指令中包含步骤303中提取的所有的DDOS攻击源的IP地址，用于指示第二服务器102对所有的DDOS攻击源的IP地址依次进行PING探测。
[0049]步骤35，接收所述第二服务器根据所述探测指令返回的所有探测响应包。
[0050]具体地，探测响应包由第二服务器102根据探测指令，使用PING命令对攻击源IP地址进行探测时，从攻击源IP地址对应的终端获得，第二服务器102将通过PING探测获得所有的探测响应包返回给检测服务器103。
[0051]步骤36，对所述所有探测响应包进行DPI分析，分别提取所述所有探测响应包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0052]具体地，检测服务器103对第二服务器102返回的所有的探测响应包进行DPI分析，提取出所有的探测响应包中的攻击源IP地址及其TTL分布。
[0053]步骤37，判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值。
[0054]具体地，由于同一次DDOS攻击的攻击源IP地址可能有多个，其对应的探测源IP地址也有多个，检测服务器103逐一将多个攻击源IP地址的TTL值与其各自对应的探测源IP地址的TTL值进行比较，分别判断多个攻击源IP地址的TTL值与其各自对应的探测源IP地址的TTL值的差值是否大于预置值。优选地，预置值可为5。
[0055]若是，则执行步骤38:确定所述攻击源IP地址为伪造的IP地址。
[0056]步骤38具体请参考第一实施例的相应内容，此处不再赘述。
[0057]若否，则执行步骤39:确定所述攻击源IP地址为真实的IP地址。
[0058]本发明实施例提供的网络层DDOS攻击源识别方法，通过检测服务器在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0059]第三实施例
[0060]请参阅图4，所示为本发明第三实施例提供的网络层DDOS攻击源识别方法的流程图。如图4所示，该实施例描述的是用户终端的处理流程，结合图1，本实施例提供的网络层DDOS攻击源识别方法包括以下步骤:
[0061]步骤41，检测服务器在监测到第一服务器受到DDOS攻击时，向第一服务器发送DDOS攻击包获取请求。
[0062]具体地，检测服务器103通过实时监控第一服务器101的数据流量信息监测第一服务器是否受到DDOS(Distributed Denial of Service,分布式拒绝服务)攻击，当监测到第一服务器101受到DDOS攻击时，也即监测到第一服务器101数据流量异常时，例如:出现大流量无用数据或第一服务器101上有大量等待的TCP(Transmiss1n Control Protocol,传输控制协议)连接等情况时，向第一服务器发送DDOS攻击包获取请求，请求第一服务器101全量抓取DDOS攻击包，并将抓取的所有的DDOS攻击包返回给检测服务器103。
[0063]步骤42，第一服务器根据获取请求获取DDOS攻击包，并将DDOS攻击包返回给检测服务器。
[0064]具体地，第一服务器101根据检测服务器103发送的获取请求，全量抓取当前受到的所有DDOS攻击包，并将抓取的所有的DDOS攻击包返回给检测服务器103。
[0065]步骤43，检测服务器分析获取DDOS攻击包中的攻击源IP地址与攻击源IP地址的TTL 值。
[0066]具体地，检测服务器103对第一服务器101返回的所有的DDOS攻击包进行DPI(Deep Packet Inspect1n,深度包检测技术)分析,提取所有的DDOS攻击包中的攻击源IP地址与攻击源IP地址的TTL值的分布。
[0067]步骤44，检测服务器向第二服务器发送包含攻击源IP地址的探测指令。
[0068]具体地，检测服务器103选择与第一服务器101处于相同拓扑网络下的任意一台服务器作为第二服务器102，向该第二服务器102发送探测指令，该探测指令中包含所有的DDOS攻击源的IP地址，用于指示第二服务器102对所有的DDOS攻击源的IP地址依次进行探测。
[0069]步骤45，第二服务器根据探测指令，对攻击源IP地址进行探测，从攻击源IP地址对应的终端获取探测响应包，并将探测响应包发送给检测服务器。
[0070]于本实施例一【具体实施方式】中，第二服务器102对所有的DDOS攻击源的IP地址依次进行PING探测，以获取探测响应包。PING是一个通用通信协议，属于TCP/IP协议(Transmiss1n Control Protocol/Internet Protocol,传输控制协议/ 因特网互联协议)的一部分，一般可用于检测网络通与不通，PING通过发送一个ICMP (Internet ControlMessages Protocol，因特网信报控制协议)回声请求消息给目的地，并报告是否收到所希望的ICMP echo(ICMP回声应答)。利用PING探测可以简单而有效地获取来自于攻击源IP地址的探测响应包，从而提高DDOS攻击源识别的效率。
[0071]于本实施例其他【具体实施方式】中，第二服务器102也可利用Telnet、Traceroute等其他通用互联网协议，对所有的DDOS攻击源的IP地址依次进行探测。
[0072]步骤46，检测服务器提取探测响应包中的探测源IP地址与探测源IP地址的TTL值，判断攻击源IP地址的TTL值与探测源IP地址的TTL值的差值是否大于预置值，若是，则确定攻击源IP地址为伪造的IP地址，若否，则确定攻击源IP地址为真实的IP地址。
[0073]具体地，检测服务器103首先对第二服务器102返回的所有的探测响应包进行DPI分析，提取出所有的探测响应包中的攻击源IP地址及其TTL分布。然后逐一将多个攻击源IP地址的TTL值与其各自对应的探测源IP地址的TTL值进行比较，分别判断多个攻击源IP地址的TTL值与其各自对应的探测源IP地址的TTL值的差值是否大于预置值。基于TTL值的特性，当攻击源IP地址的TTL值与其对应的探测源IP地址的TTL值的差值大于预置值(例如:5)时，说明攻击源IP地址的TTL值与其对应的探测源IP地址的TTL值的误差较大，则可确定攻击源IP地址为伪造的IP地址。当攻击源IP地址的TTL值与其对应的探测源IP地址的TTL值的差值小于或等于预置值时，则可确定攻击源IP地址为真实的IP地址。
[0074]本发明实施例提供的网络层DDOS攻击源识别方法，通过检测服务器在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0075]第四实施例
[0076]图5为本发明第四实施例提供的检测服务器的结构示意图。本实施例提供的检测服务器可以用于实现第一实施例中的网络层DDOS攻击源识别方法。如图5所示，检测服务器50包括:DD0S攻击包获取与分析模块51、探测指令发送模块52、探测响应包分析模块53、判断模块54。
[0077]其中，DDOS攻击包获取与分析模块51用于在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0078]探测指令发送模块52用于向第二服务器发送包含所述DDOS攻击包获取与分析模块51分析获得的所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测。
[0079]探测响应包分析模块53用于接收所述第二服务器根据所述探测指令发送模块发送的所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值。
[0080]判断模块54用于判断所述DDOS攻击包获取与分析模块51分析获得的所述攻击源IP地址的TTL值与所述探测响应包分析模块52分析获得的所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
[0081]本实施例检测服务器50的各功能模块实现各自功能的具体过程，请参见上述图1至图4所示实施例中描述的具体内容，此处不再赘述。
[0082]本发明实施例提供的网络层DDOS攻击源识别装置，通过在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0083]第五实施例
[0084]图6为本发明第五实施例提供的检测服务器的结构示意图。本实施例提供的检测服务器可以用于实现第二实施例与第三实施例中的网络层DDOS攻击源识别方法。如图6所示，检测服务器60包括:DD0S攻击包获取与分析模块61、探测指令发送模块62、探测响应包分析模块63、判断模块64。
[0085]其中，DDOS攻击包获取与分析模块61用于在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。所述DDOS攻击包获取与分析模块61包括:DD0S攻击包获取请求发送单元611、DD0S攻击包接收单元612、DD0S攻击包分析单元613。其中DDOS攻击包获取请求发送单元611用于在监测到第一服务器受到DDOS攻击时，向所述第一服务器发送获取所有DOOS攻击包的请求；DD0S攻击包接收单元612用于接收所述第一服务器根据所述DDOS攻击包获取请求发送单元611发送的所述获取所有DOOS攻击包的请求发送的所有DDOS攻击包。DDOS攻击包分析单元613用于对所述DDOS攻击包接收单元612接收的所述所有DDOS攻击包进行DPI分析，分别获取所述所有DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0086]探测指令发送模块62用于向第二服务器发送包含所述DDOS攻击包获取与分析模块61分析获得的所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测，还用于向第二服务器发送包含所有所述攻击源IP地址的探测指令，所述探测指令用于指示所述第二服务器使用PING命令依次对所述所有DDOS攻击包中的攻击源IP地址进行探测。
[0087]探测响应包分析模块63用于接收所述第二服务器根据所述探测指令发送模块62发送的所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值。所述探测响应包分析模块包括:探测响应包接收单元631、探测响应包分析单元632。其中，探测响应包接收单元631用于接收所述第二服务器根据所述探测指令发送模块发送的探测指令返回的所有探测响应包，所述探测响应包由所述第二服务器根据所述探测指令，使用PING命令对所述攻击源IP地址进行探测时，从所述攻击源IP地址对应的终端获得。探测响应包分析单元632用于对所述探测响应包接收单元631接收的所述所有探测响应包进行DPI分析，分别提取所述所有探测响应包中的攻击源IP地址与所述攻击源IP地址的TTL值。
[0088]判断模块64用于判断所述DDOS攻击包获取与分析模块62分析获得的所述攻击源IP地址的TTL值与所述探测响应包分析模块63分析获得的所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
[0089]本实施例检测服务器60的各功能模块实现各自功能的具体过程，请参见上述图1至图4所示实施例中描述的具体内容，此处不再赘述。
[0090]本发明实施例提供的网络层DDOS攻击源识别装置，通过在监测到第一服务器受到DDOS攻击时，利用与第一服务器处于相同网络拓扑中的第二服务器对DDOS攻击源进行反向探测，同时利用TTL值的特性，通过比较DDOS攻击源的源IP地址的TTL值与探测源IP地址的TTL值，可快速而有效地识别网络层DDOS攻击源IP地址的真伪。
[0091]第六实施例
[0092]请参阅图7，所示为本发明第六实施例提供的网络层DDOS攻击源识别系统的结构示意图。如图7所示，本实施例提供的网络层DDOS攻击源识别系统70包括:第一服务器71、检测服务器72、以及第二服务器73。
[0093]其中，第一服务器71用于根据检测服务器72发送的获取DOOS攻击包的请求，将DDOS攻击包发送给检测服务器72。
[0094]检测服务器72的具体结构可参考图5与图6对应实施例的装置，此处不再赘述。
[0095]第二服务器73用于根据检测服务器72发送的探测指令，对攻击源IP地址进行探测，从攻击源IP地址对应的终端获取探测响应包，并将探测响应包发送给检测服务器72。其中，第二服务器73与第一服务器71同处于一个网络拓扑中。
[0096]本实施例中的网络层DDOS攻击源识别系统中各装置实现功能的具体过程请参阅图1至图4对应实施例的方法，以及图5与图6对应实施例的装置，此处不再赘述。
[0097]需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0098]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0099]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0100]以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明，任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内，当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例，但凡是未脱离本发明技术方案内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。
【权利要求】
1.一种网络层DDOS攻击源识别方法，其特征在于，包括: 检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值； 向第二服务器发送包含所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测； 接收所述第二服务器根据所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值；以及 判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
2.根据权利要求1所述的方法，其特征在于，所述检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值的步骤，包括: 检测服务器在监测到第一服务器受到DDOS攻击时，向所述第一服务器发送获取所有DOOS攻击包的请求； 接收所述第一服务器根据所述请求返回的所有DDOS攻击包； 对所述所有DDOS攻击包进行DPI分析； 分别获取所述所有DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值。
3.根据权利要求2所述的方法，其特征在于，所述向第二服务器发送包含所述攻击源IP地址的探测指令的步骤，包括: 向第二服务器发送包含所有所述攻击源IP地址的探测指令，所述探测指令用于指示所述第二服务器使用PING命令依次对所述所有DDOS攻击包中的攻击源IP地址进行探测。
4.根据权利要求3所述的方法，其特征在于，所述接收所述第二服务器根据所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值的步骤，包括: 接收所述第二服务器根据所述探测指令返回的所有探测响应包，所述探测响应包由所述第二服务器根据所述探测指令，使用PING命令对所述攻击源IP地址进行探测时，从所述攻击源IP地址对应的终端获得； 对所述所有探测响应包进行DPI分析； 分别提取所述所有探测响应包中的攻击源IP地址与所述攻击源IP地址的TTL值。
5.—种网络层DDOS攻击源识别方法，其特征在于，包括: 检测服务器在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值； 所述检测服务器向第二服务器发送包含所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测； 所述第二服务器根据所述探测指令，对所述攻击源IP地址进行探测，从所述攻击源IP地址对应的终端获取探测响应包，并将所述探测响应包发送给所述检测服务器；以及 所述检测服务器提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值，判断所述攻击源IP地址的TTL值与所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
6.一种网络层DDOS攻击源识别装置，应用于检测服务器，其特征在于，包括: DDOS攻击包获取与分析模块，用于在监测到第一服务器受到DDOS攻击时，从所述第一服务器获取DDOS攻击包，提取所述DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL值； 探测指令发送模块，用于向第二服务器发送包含所述DDOS攻击包获取与分析模块分析获得的所述攻击源IP地址的探测指令，所述第二服务器与所述第一服务器同处于一个网络拓扑中，所述探测指令用于指示所述第二服务器对所述攻击源IP地址进行探测； 探测响应包分析模块，用于接收所述第二服务器根据所述探测指令发送模块发送的所述探测指令返回的探测响应包，提取所述探测响应包中的探测源IP地址与所述探测源IP地址的TTL值； 判断模块，用于判断所述DDOS攻击包获取与分析模块分析获得的所述攻击源IP地址的TTL值与所述探测响应包分析模块分析获得的所述探测源IP地址的TTL值的差值是否大于预置值，若是，则确定所述攻击源IP地址为伪造的IP地址，若否，则确定所述攻击源IP地址为真实的IP地址。
7.根据权利要求6所述的装置，所述DDOS攻击包获取与分析模块包括: DDOS攻击包获取请求发送单元，用于在监测到第一服务器受到DDOS攻击时，向所述第一服务器发送获取所有DOOS攻击包的请求； DDOS攻击包接收单元，用于接收所述第一服务器根据所述DDOS攻击包获取请求发送单元发送的所述获取所有DOOS攻击包的请求发送的所有DDOS攻击包； DDOS攻击包分析单元，用于对所述DDOS攻击包接收单元接收的所述所有DDOS攻击包进行DPI分析，分别获取所述所有DDOS攻击包中的攻击源IP地址与所述攻击源IP地址的TTL 值。
8.根据权利要求7所述的装置，其特征在于，所述探测指令发送模块用于向第二服务器发送包含所有所述攻击源IP地址的探测指令，所述探测指令用于指示所述第二服务器使用PING命令依次对所述所有DDOS攻击包中的攻击源IP地址进行探测。
9.根据权利要求8所述的装置，其特征在于，所述探测响应包分析模块包括: 探测响应包接收单元，用于接收所述第二服务器根据所述探测指令发送模块发送的探测指令返回的所有探测响应包，所述探测响应包由所述第二服务器根据所述探测指令，使用PING命令对所述攻击源IP地址进行探测时，从所述攻击源IP地址对应的终端获得； 探测响应包分析单元，用于对所述探测响应包接收单元接收的所述所有探测响应包进行DPI分析，分别提取所述所有探测响应包中的攻击源IP地址与所述攻击源IP地址的TTL值。
10.一种网络层DDOS攻击源识别系统，其特征在于，包括:如权利要求6至9中的任一项所述的检测服务器、第一服务器、以及第二服务器； 所述第一服务器用于根据所述检测服务器发送的获取DOOS攻击包的请求，将DDOS攻击包发送给所述检测服务器； 所述第二服务器用于根据所述检测服务器发送的所述探测指令，对所述攻击源IP地址进行探测，从所述攻击源IP地址对应的终端获取探测响应包，并将所述探测响应包发送给所述检测服务器； 其中，所述第二服务器与所述第一服务器同处于一个网络拓扑中。
【文档编号】H04L29/06GK104348794SQ201310325923
【公开日】2015年2月11日 申请日期:2013年7月30日 优先权日:2013年7月30日
【发明者】罗喜军, 陈勇 申请人:深圳市腾讯计算机系统有限公司