一种攻击溯源方法、装置、路由器、服务器及存储介质与流程

本申请涉及通信，例如涉及一种攻击溯源方法、装置、路由器、服务器及存储介质。

背景技术：

1、随着接入需求的增加，万物互联使得直接暴露在网络空间的物联网设备数量大幅剧增。大量存在安全漏洞的物联网设备容易被黑客攻击，从而组建僵尸网络发动大规模的分布式拒绝服务攻击(distributed denial of service，ddos)。

2、软件定义网络sdn是将控制平面与数据平面分离以实现支持网络虚拟化的新型网络架构。由于其具有结构灵活、易部署、可编程性、可扩展性、解耦性等众多优点，为缓解ddos攻击提供了新方法。但现有的sdn中的ddos攻击防御解决方案大多是在单个网络域中分析本地流量特征进行集中式的单点检测，并通过对现有ddos攻击流量的阻止实现ddos攻击缓解。在实际过程中，ddos攻击的众多物联网设备通常位于不同的控制器管辖范围内，即ddos攻击通常是对于多个网络域中的物联网设备进行攻击。

3、现有技术提供一种基于日志记录的ddos攻击溯源方法，该方法的主要思想是数据包在网络中传输时，路由器记录数据包的信息并存储在路由日志中。当被攻击的物联网设备检测到已被攻击时，向上游的路由器发送查询请求，根据路由器中的路日志，采用递归的方式找出数据包经过的路由器，得到攻击路线，根据攻击路线找寻攻击源。

4、但是，现有技术的方案具有如下缺点：第一，需要路由器记录大量数据信息，增加了路由器的开销，降低了路由器的性能；第二，由于路由器存储能力有限，不能无限制存储数据；当路由器的存储达到上限时会刷新日志记录，只能在一定时限内完成攻击源的追溯；第三，日志记录存在安全隐患，若路由器被攻击者控制，攻击者可任意修改或删除日志记录，导致无法追溯攻击源。

技术实现思路

1、本申请提供一种攻击溯源方法、装置、路由器、服务器及存储介质，用以解决现有技术中路由器开销过大，存储能力有限，无法准确追溯攻击源的问题。

2、本申请实施例提供了一种攻击溯源方法、应用于路由器，包括：

3、获取数据包，所述数据包从攻击源设备发送至被攻击设备；

4、对所述数据包进行标记得到标记数据包，以使所述被攻击设备根据目标数据包追溯所述攻击源设备，所述目标数据包为对所述数据包进行最终标记后得到的标记数据包。

5、本申请实施例还提供了一种攻击溯源方法，应用于服务器，所述方法包括：

6、在检测到攻击时，提取目标数据包，所述目标数据包具有完整的标记信息，所述完整的标记信息包括攻击源设备到所述被攻击设备之间的所有as域的自治系统编号；

7、根据所述目标数据包中的分片存储字段重构出所述攻击源设备到所述被攻击设备之间的as路径；

8、根据所述as路径追溯所述攻击源设备。

9、本申请实施例还提供了一种攻击溯源装置，应用于路由器，包括：

10、获取模块，用于获取数据包，所述数据包从攻击源设备发送至被攻击设备；

11、标记模块，用于对所述数据包进行标记得到标记数据包，以使所述被攻击设备根据目标数据包追溯所述攻击源设备，所述目标数据包为对所述数据包进行最终标记后得到的标记数据包。

12、本申请实施例还提供了一种攻击溯源装置，应用于服务器，包括：

13、提取模块，用于在检测到分布式拒绝服务攻击时，提取目标数据包，所述目标数据包具有完整的标记信息，所述完整的标记信息包括攻击源设备到所述被攻击设备之间的所有as域的自治系统编号；

14、重构模块，用于根据所述目标数据包中的分片存储字段重构出所述攻击源设备到所述被攻击设备之间的as路径；

15、追溯模块，用于根据所述as路径追溯所述攻击源设备。

16、本申请实施例还提供了一种路由器，包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述的攻击追溯方法。

17、本申请实施例还提供了一种服务器，包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述的攻击追溯方法。

18、本申请实施例还提供了一种存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述的攻击追溯方法。

19、本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

技术特征：

1.一种攻击溯源方法，其特征在于，由路由器执行，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，对所述数据包进行标记得到标记数据包，包括：

3.根据权利要求2所述的方法，其特征在于，将所述数据包经过的当前自治系统as域的自治系统编号的部分编号作为标记信息插入到所述数据包中，包括：

4.根据权利要求3所述的方法，其特征在于，所述预设标记区域包括数据包标记字段、分片标记字段、距离长度字段、分片插入字段以及分片存储字段；

5.根据权利要求4所述的方法，其特征在于，所述数据包的个数为所述预设数量，相应的，根据所述数据包中预设标记区域中的对应字段的指示，将所述预设数量个分片中的目标分片作为标记信息插入到所述数据包的分片存储字段中，包括：

6.根据权利要求4所述的方法，其特征在于，在所述数据包中加入一个所述目标分片后，所述距离长度字段的数值对应增加。

7.根据权利要求3所述的方法，其特征在于，所述一个as域的自治系统编号均匀分割成2个分片时，所述数据包的个数为2。

8.根据权利要求1所述的方法，其特征在于，所述数据包在预设时间周期内获取，并对所述数据包进行标记。

9.一种攻击溯源方法，其特征在于，由服务器执行，所述方法包括：

10.根据权利要求9所述的方法，其特征在于，所述目标数据包的个数为预设数量，相应的，所述根据所述目标数据包中的分片存储字段重构出攻击源设备到所述被攻击设备之间的as路径，包括：

11.根据权利要求10所述的方法，其特征在于，将所述预设数量个目标数据包的分片存储字段中的分片提取到重构路径表中，包括：

12.根据权利要求10所述的方法，其特征在于，所述根据每个目标数据包中的距离长度字段，将每个目标数据包的分片存储字段中的分片进行重构，得到攻击源设备到所述被攻击设备之间的as路径，包括：

13.一种攻击溯源装置，其特征在于，应用于路由器，所述装置包括：

14.一种攻击溯源装置，其特征在于，应用于服务器，所述装置包括：

15.一种路由器，其特征在于，包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-8中任一项所述的方法。

16.一种服务器，其特征在于，包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求9-12中任一项所述的攻击溯源方法。

17.一种存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-12中任一项所述的攻击溯源方法。

技术总结
本申请提供一种攻击溯源方法、装置、路由器、服务器及存储介质。该方法包括：获取数据包，所述数据包从攻击源设备发送至被攻击设备；对所述数据包进行标记得到标记数据包，以使所述被攻击设备根据目标数据包追溯所述攻击源设备，所述目标数据包为对所述数据包进行最终标记后得到的标记数据包。该方法通过对数据包进行标记，可以降低路由器的存储，提高路由器的性能，该方法根据标记信息可以准确快速的追溯到攻击源设备。

技术研发人员：刘颖,冯惠粉,张维庭,闫新成,周娜
受保护的技术使用者：中兴通讯股份有限公司
技术研发日：
技术公布日：2024/1/15