一種DDOS防禦系統中檢測偽造源IP的方法和裝置與流程
2023-05-30 13:42:11
本發明涉及網絡安全技術領域,更具體地,涉及一種DDOS防禦系統中檢測偽造源IP的方法和裝置。
背景技術:
分布式拒絕服務(DDoS,Distributed Denial of Service)攻擊是攻擊者通過讓大量的網絡流量同時湧向攻擊目標,造成目標主機網絡擁塞、資源耗盡甚至宕機,實現讓目標主機拒絕服務的目的。
DDOS攻擊通常是由殭屍網絡和代理伺服器上各種攻擊軟體、應用軟體產生大量流量來實現的。在攻擊中,偽造源IP攻擊是很常用的方式,原因有:(1)可以避免監管和追溯;(2)避免目標主機對攻擊數據的響應給攻擊主機帶來壓力;(3)通過偽造源IP還可以實現反射攻擊,其威力巨大。
DDOS防禦系統就是用來檢測和清洗這些異常流量,保障被攻擊主機能夠持續在線服務。在該系統中,源IP識別和與之相關的統計是常用的流量清洗依據。例如,(1)通過源IP與白名單、惡意名單匹配與否來決定是否放行;(2)在避免SYNFLOOD攻擊時需要計算SYN cookie或者使用SYN首包丟棄/SYN proxy技術並維護大量的連接狀態表;(3)在HTTP應用中,通過封源IP、對源IP限速的方式來解決源IP訪問頻率過快、流量過大、惡意訪問等;(4)通過對爬蟲源IP進行反向DNS查找來辨別google、百度等搜索網站爬蟲的真偽,避免爬蟲DDOS攻擊。
在上述DDOS防禦過程中,如果有大量偽造源IP攻擊,會導致攻擊流量繞過防禦系統或者給防禦系統帶來巨大壓力:
(1)偽造源IP如果命中白名單可能會直接穿透DDOS防禦系統而不被阻攔;
(2)偽造源IP的攻擊特徵是,攻擊報文多,但是屬於同一個源IP/同一個流的報文個數很少,大部分情況下一個源IP只會有一個報文,使得基於統計,流分析方式的清洗算法不能有效發揮,清洗效果不理想;
(3)短時間內偽造源IP數量巨大,使得維護源IP統計表/連接狀態表/計算syn cookie將耗費很多DDOS防禦系統的資源。這對防禦系統本身帶來挑戰。
技術實現要素:
鑑於上述問題,本發明提出了一種DDOS防禦系統中檢測偽造源IP的方法和裝置,能夠準確地識別偽造源IP。
本發明實施例中提供了一種DDOS防禦系統中檢測偽造源IP的方法,包括:
獲取其中一個待檢測報文的源IP位址和生存時間值,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數;
在本地數據表中查詢所述源IP位址對應的跳數集合;
當所述跳數屬於所述跳數集合,或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;否則,判斷所述待檢測報文為偽造源IP的攻擊報文。
優選地,當在本地數據表中查詢不到所述源IP位址,或查詢到的所述跳數集合為空集,或跳數與所述跳數集合中所述最大或最小跳數的差距不小於預設閾值,或所述源IP位址的反探測次數少於預設置信值時,向所述源IP位址發送反探測報文;
若收到所述源IP位址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算反向跳數,並將該反向跳數添加至所述源IP位址對應的跳數集合之中;
若收不到所述源IP位址對所述反探測報文的響應報文,則減少所述本地數據表中該源IP位址的可信度。
優選地,所述本地數據表至少包含由連續的IP位址組成的IP位址段和該IP位址段對應的跳數集合,在本地數據表中查詢所述源IP位址對應的跳數集合的步驟,包括:
在本地數據表中以升序或降序對所述IP位址段進行排列;
根據所述源IP位址歸屬的IP位址段,獲取對應的跳數集合。
優選地,將該反向跳數添加至所述源IP位址對應的跳數集合之中的步驟之後,還包括:
根據所述反向跳數校驗所述跳數集合之中的其他跳數;
當所述源IP位址的反向跳數與其所屬的IP位址段對應的跳數集合中其他跳數的差距不小於預設閾值,將該源IP位址從其所屬的IP位址段分離;
當所述源IP位址的反向跳數與其相鄰的IP位址段對應的跳數集合中其他跳數的差距小於預設閾值,將該源IP位址與其相鄰的IP位址段合併。
優選地,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數的步驟,包括:
從報文生存時間的系統初始設置值當中,選取一個大於且最接近所述生存時間值的系統初始設置值,作為所述待檢測報文的報文初始值;
將所述報文初始值減去所述生存時間值,獲得該待檢測報文途徑網絡節點的跳數。
相應地,本發明實施例提供了一種DDOS防禦系統中檢測偽造源IP的裝置,包括:
跳數計算單元,用於獲取其中一個待檢測報文的源IP位址和生存時間值,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數;
數據查詢單元,用於在本地數據表中查詢所述源IP位址對應的跳數集合;
數據更新單元,用於當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;否則,判斷所述待檢測報文為偽造源IP的攻擊報文。
優選地,還包括:
所述反向探測單元,用於當在本地數據表中查詢不到所述源IP位址,或查詢到的所述跳數集合為空集,或跳數與所述跳數集合中所述最大或最小跳數的差距不小於預設閾值,或所述源IP位址的反探測次數少於預設置信值時,向所述源IP位址發送反探測報文;
所述反向探測單元還與所述跳數計算單元相連,所述跳數計算單元還用於若收到所述源IP位址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算反向跳數;所述數據更新單元,還用於將該反向跳數添加至所述源IP位址對應的跳數集合之中;
所述反向探測單元還與所述數據更新單元相連,所述數據更新單元還用於若收不到所述源IP位址對所述反探測報文的響應報文,則減少所述本地數據表中該源IP位址的可信度。
優選地,所述本地數據表至少包含由連續的IP位址組成的IP位址段和該IP位址段對應的跳數集合,所述數據查詢單元,包括:
IP段排列單元,用於在本地數據表中以升序或降序對所述IP位址段進行排列;
歸屬查詢單元,用於根據所述源IP位址歸屬的IP位址段,獲取對應的跳數集合;
IP段校驗單元,用於根據所述反向跳數校驗所述跳數集合之中的其他跳數;當所述源IP位址的反向跳數與其所屬的IP位址段對應的跳數集合中其他跳數的差距不小於預設閾值,將該源IP位址從其所屬的IP位址段分離;當所述源IP位址的反向跳數與其相鄰的IP位址段對應的跳數集合中其他跳數的差距小於預設閾值,將該源IP位址與其相鄰的IP位址段合併。
優選地,所述跳數計算單元,包括:
初值估算單元,用於從報文生存時間的系統初始設置值當中,選取一個大於且最接近所述生存時間值的系統初始設置值,作為所述待檢測報文的報文初始值;
跳數推測單元,用於將所述報文初始值減去所述生存時間值,獲得該待檢測報文途徑網絡節點的跳數。
相應地,本發明實施例提供了一種DDOS防禦系統,包括:交換機、清洗設備和檢測設備;其中,所述檢測設備包含如前述的DDOS防禦系統中檢測偽造源IP的裝置,所述清洗設備用於清洗偽造源IP;其中,所述交換機與目標伺服器相連,用於轉發訪問地址為目標伺服器的報文;所述清洗設備與所述交換機並聯,用於分流訪問地址為目標伺服器的報文;所述檢測設備連接在所述交換機與所述清洗設備之間,用於檢測訪問地址為目標伺服器的報文,生成本地數據表,以供所述清洗設備。
相對於現有技術,本發明提供的方案,首先,獲取其中一個待檢測報文的源IP位址和生存時間值TTL,根據該生存時間值TTL計算該待檢測報文途徑網絡節點的跳數。基於IP報文頭部中的生存時間值TTL來檢測偽造源IP,其原理是,有線網絡拓撲、核心網絡節點和主機位置相對穩定,報文所經過的跳數(由生存時間值TTL體現)在本質上反映網絡通信各節點之間的相對邏輯位置關係,因此跳數、源IP位址的節點和目標伺服器節點三者強相關,在一定時間內報文的跳數趨於穩定且不存在線性規律。攻擊者偽造源IP容易,但是要得到偽造攻擊源IP和攻擊目標伺服器之間的網絡拓撲關係就很難,尤其是要得到大量的攻擊源IP和攻擊目標伺服器之間的網絡拓撲是幾乎不可能的。故此,在存儲有IP位址和相應跳數的本地數據表中查詢所述源IP位址對應的跳數集合;當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;否則,判斷所述待檢測報文為偽造源IP的攻擊報文。當所述跳數屬於所述跳數集合,可以增加所述跳數在所述跳數集合中的出現概率,以此更新本地數據表,提高本地數據表的準確性。所述跳數集合中最大或最小跳數的差距小於預設閾值時,說明該跳數集合還是在準確範圍之內,因為報文在途徑網絡節點時,有個別網絡節點出現故障或關閉,以此更新本地數據表,將所述跳數添加至所述跳數集合之中,提高本地數據表的準確性。本發明中基於源IP位址和跳數集合的方式來識別源IP是否偽造,而不是單純的基於源IP和TTL的配對方式。另外,本發明中源IP位址及對應的跳數集合是通過學習訓練來實現並不斷完善的,充分利用了IP位址屬性特徵和人工智慧思維,而不是單純的需要時才檢測,因此,本發明能夠準確地識別偽造源IP。
本發明附加的方面和優點將在下面的描述中部分給出,這些將從下面的描述中變得明顯,或通過本發明的實踐了解到。
附圖說明
為了更清楚地說明本發明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
圖1為本發明一種DDOS防禦系統中檢測偽造源IP的方法的流程圖。
圖2為本發明一種DDOS防禦系統中檢測偽造源IP的方法的實施例流程圖。
圖3為本發明一種DDOS防禦系統中檢測偽造源IP的裝置的示意圖。
圖4為本發明一種DDOS防禦系統中檢測偽造源IP的裝置的實施例示意圖。
圖5為本發明一種DDOS防禦系統的示意圖。
具體實施方式
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述。
在本發明的說明書和權利要求書及上述附圖中的描述的一些流程中,包含了按照特定順序出現的多個操作,但是應該清楚了解,這些操作可以不按照其在本文中出現的順序來執行或並行執行,操作的序號如101、102等,僅僅是用於區分開各個不同的操作,序號本身不代表任何的執行順序。另外,這些流程可以包括更多或更少的操作,並且這些操作可以按順序執行或並行執行。需要說明的是,本文中的「第一」、「第二」等描述,是用於區分不同的消息、設備、模塊等,不代表先後順序,也不限定「第一」和「第二」是不同的類型。
下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。
圖1為本發明一種DDOS防禦系統中檢測偽造源IP的方法的流程圖,包括:
S101:獲取其中一個待檢測報文的源IP位址和生存時間值,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數;
S102:在本地數據表中查詢所述源IP位址對應的跳數集合;
S103-1:當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;
S103-2:否則,判斷所述待檢測報文為偽造源IP的攻擊報文。
相對於現有技術,本發明提供的方案,首先,獲取其中一個待檢測報文的源IP位址和生存時間值TTL,根據該生存時間值TTL計算該待檢測報文途徑網絡節點的跳數。基於IP報文頭部中的生存時間值TTL來檢測偽造源IP,其原理是,有線網絡拓撲、核心網絡節點和主機位置相對穩定,報文所經過的跳數(由生存時間值TTL體現)在本質上反映網絡通信各節點之間的相對邏輯位置關係,因此跳數、源IP位址的節點和目標伺服器節點三者強相關,在一定時間內報文的跳數趨於穩定且不存在線性規律。攻擊者偽造源IP容易,但是要得到偽造攻擊源IP和攻擊目標伺服器之間的網絡拓撲關係就很難,尤其是要得到大量的攻擊源IP和攻擊目標伺服器之間的網絡拓撲是幾乎不可能的。故此,在存儲有IP位址和相應跳數的本地數據表中查詢所述源IP位址對應的跳數集合;當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;否則,判斷所述待檢測報文為偽造源IP的攻擊報文。當所述跳數屬於所述跳數集合,可以增加所述跳數在所述跳數集合中的出現概率,以此更新本地數據表,提高本地數據表的準確性。所述跳數集合中最大或最小跳數的差距小於預設閾值時,說明該跳數集合還是在準確範圍之內,因為報文在途徑網絡節點時,有個別網絡節點出現故障或關閉,以此更新本地數據表,將所述跳數添加至所述跳數集合之中,提高本地數據表的準確性。
例如,在IPv4中,TTL(Time To Live,生存時間)是一個8個二進位位的IP協議的一個header。這個值可以被認為是數據包在internet系統中可以跳躍的次數上限。主流作業系統TTL初始值有32,64,128,255,且一般通信過程跳數不超過30跳。TTL是由數據包的發送者設置的,在前往目的地的過程中,每經過一臺主機或設備,這個值就要減少一點。如果在數據包到達目的地前,TTL值被減到了0,那麼這個包將作為一個ICMP錯誤的數據包被丟棄。
本發明技術方案的基本工作原理是,由於DDOS防禦系統通常位於被保護機房的入口位置,因此可以學習和探測所有可能的源IP發出的報文在到達該目標伺服器時的跳數集合併形成本地數據表。當攻擊可能發生時,通過對比每個IP所攜帶的報文跳數與本地數據表中記錄的該IP到達該目標伺服器所需要的跳數集合,當誤差超過設置閥值後,即判定該報文攜帶偽造源IP,直接丟棄。因為攻擊者不知道其隨機設定的攻擊源IP真實位置到目標伺服器之間的確切跳數,本方案可以通過反向探測或主動學習的方式獲得兩者之間的確切實跳數,當與根據待檢測報文計算出來的跳數不一致時,判定為攻擊報文,丟棄該報文。
本發明中基於上述源IP位址和跳數集合的方式來識別源IP是否偽造,而不是單純的基於源IP和TTL的配對方式。另外,本發明中源IP位址及對應的跳數集合是通過學習訓練來實現並不斷完善的,充分利用了IP位址屬性特徵和人工智慧思維,而不是單純的需要時才檢測,因此,本發明能夠準確地識別偽造源IP。
圖2為本發明一種DDOS防禦系統中檢測偽造源IP的方法的實施例流程圖。
S201:獲取其中一個待檢測報文的源IP位址和生存時間值,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數;
S202:在本地數據表中查詢所述源IP位址對應的跳數集合;
S203-1:當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;
S203-2:否則,判斷所述待檢測報文為偽造源IP的攻擊報文。
S204:當在本地數據表中查詢不到所述源IP位址,或查詢到的所述跳數集合為空集,或跳數與所述跳數集合中所述最大或最小跳數的差距不小於預設閾值,或所述源IP位址的反探測次數少於預設置信值時,向所述源IP位址發送反探測報文;
S205:若收到所述源IP位址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算反向跳數,並將該反向跳數添加至所述源IP位址對應的跳數集合之中;
S206:若收不到所述源IP位址對所述反探測報文的響應報文,則減少所述本地數據表中該源IP位址的可信度。
通過上述反向探測,可以不斷地訓練跳數集合,進一步提高篩查待檢測報文的準確度。優選地,本地數據表內存儲的跳數集合如下表所示:
例如待檢測報文的源IP為IP1時,當待檢測報文的跳數屬於所述跳數集合,例如為14步,且判定所述待檢測報文符合所述目標伺服器預設的篩查條件時,例如目標伺服器自身的篩查黑名單當中並沒有包含該待檢測報文的源IP,此時,可以將該待檢測報文轉發到所述目標伺服器。
例如待檢測報文的源IP為IP5時,當在本地數據表中查詢不到所述源IP位址,或查詢到的所述跳數集合為空集時,向所述源IP位址發送反探測報文。
例如待檢測報文的源IP為IP1時,向所述源IP位址發送反探測報文。若收到所述源IP位址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算跳數,例如根據響應報文計算的跳數為13,將該跳數添加至所述源IP位址對應的跳數集合之中,以備下一個待檢測報文的查詢。通過對1000個待檢測報文的計算學習,獲知這1000個報文當中,跳數與概率分布為(15,80%),(14,5%),(13,5%)。而通過發送10個反探測報文,也獲得15,14等跳數。可知IP1的跳數集合是比較準確的,其可信度設置為1。可信度也可以作為所述目標伺服器預設的篩查條件之一,當流量接近目標伺服器所能承受的界限時,可以將篩查條件設置為僅允許可信度為1的待檢測報文進入目標伺服器。
例如待檢測報文的源IP為IP2時,向所述源IP位址發送反探測報文。若收不到所述源IP位址對所述反探測報文的響應報文,則將所述待檢測報文途徑網絡節點的跳數,添加至所述源IP位址對應的跳數集合之中,以備下一個待檢測報文的查詢。通過對17個待檢測報文的學習,獲知(17,80%),(18,20%)的跳數集合。但是,發送1個反探測報文後,並沒收到任何的響應報文,此時設置該跳數集合的可信度為0.5。
例如待檢測報文的源IP為IP3時,計算獲得的跳數為23步,閾值設置為3,置信值設置為5次,跳數23步與所述(17,80%),(18,20%)跳數集合中所述最大跳數18的差距不小於預設閾值3,或所述源IP位址的反探測次數1少於預設置信值5次時,向所述源IP位址發送反探測報文。若收到所述源IP3地址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算反向跳數,若反向跳數為19,將該反向跳數19添加至所述源IP位址對應的跳數集合之中,例如,將跳數集合調整為(17,80%),(18,18%)(19,2%)。
為了進一步快速的查詢源IP位址,所述本地數據表至少包含由連續的IP位址組成的IP位址段和該IP位址段對應的跳數集合,在本地數據表中查詢所述源IP位址對應的跳數集合的步驟,包括:
在本地數據表中以升序或降序對所述IP位址段進行排列;
根據所述源IP位址歸屬的IP位址段,獲取對應的跳數集合。
源IP理論上有大約40億個,如果直接描述源IP與跳數或者IP與TTL關係,數據量巨大,不能直接加載進內存,不僅查找和比對速度慢,而且需要反向探測的源IP數量也很多,工程實現上不可取。經過對IP庫源IP分析及其跳數探測發現,歸屬於統一地區和運營商的IP通常是連續的,這些連續的源IP到同一個目的伺服器的跳數通常是相對固定的。因此,在本發明中,不直接記錄源IP與跳數關係,也不是記錄IP和TTL關係,而是記錄源IP段與跳數的關係。一個IP段是IP庫中地區和運營商相同的IP聚合,在後續學習和探測過程中也會根據實際探測信息對IP段進行某些拆分,以描述特殊的IP位址或IP位址段的跳數信息.
在第一優選實施例當中,從運營商獲知的IP位址段119.33.110.01至119.33.180.33,其跳數應為18步,但通過反向探測,獲知其中的IP位址段119.33.180.5至119.33.180.12的跳數為20,則可以將本地數據表中跳數集合(119.33.110.01-119.33.180.33,18)一項拆分為(119.33.110.01-119.33.180.4,18),(119.33.180.5-119.33.180.12,20),(119.33.180.13-119.33.180.33,18)等三項。當源IP為119.33.120.11時,通過大小比對,可以快速地查詢其所屬的IP位址段為119.33.110.01-119.33.180.4,則獲取對應的跳數集合中的跳數為18。
為了便於與跳數集合的跳數進行比對,將該反向跳數添加至所述源IP位址對應的跳數集合之中的步驟之後,還包括:
根據所述反向跳數校驗所述跳數集合之中的其他跳數;
當所述源IP位址的反向跳數與其所屬的IP位址段對應的跳數集合中其他跳數的差距不小於預設閾值,將該源IP位址從其所屬的IP位址段分離;
當所述源IP位址的反向跳數與其相鄰的IP位址段對應的跳數集合中其他跳數的差距小於預設閾值,將該源IP位址與其相鄰的IP位址段合併。
在第二優選實施例當中,接前述第一優選實施例所述,如果反向跳數的差距的預設閾值為2,則將本地數據表中跳數集合(119.33.110.01-119.33.180.33,18)一項拆分為(119.33.110.01-119.33.180.4,18),(119.33.180.5-119.33.180.12,20),(119.33.180.13-119.33.180.33,18)等三項。如果反向跳數的差距的預設閾值為1,則將本地數據表中跳數集合(119.33.110.01-119.33.180.4,18),(119.33.180.5-119.33.180.12,20),(119.33.180.13-119.33.180.33,18)等三項合併為(119.33.110.01-119.33.180.33,18/20)一項。
為了進一步準確獲得報文跳數,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數的步驟,包括:
從報文生存時間的系統初始設置值當中,選取一個大於且最接近所述生存時間值的系統初始設置值,作為所述待檢測報文的報文初始值;
將所述報文初始值減去所述生存時間值,獲得該待檢測報文途徑網絡節點的跳數。
需要補充說明的是,一般而言,在本地數據表中所述源IP位址對應的跳數集合當中,如果包含的是源IP與目標伺服器之間的跳數,則上述優選的跳數計算方式只是自源IP位址到截獲該報文的網絡節點之間的跳數,因為為避免對目標伺服器的衝擊,上述計算必定發生在報文到達目標伺服器之前。所以,此時還需考慮截獲該報文的網絡節點與目標伺服器之間的跳數,如果截獲該報文的網絡節點發生在目標伺服器的入口交換機一級,在入口交換機一級與目標伺服器之間相差一步跳數。
圖3為本發明一種DDOS防禦系統中檢測偽造源IP的裝置的示意圖,包括:
跳數計算單元,用於獲取其中一個待檢測報文的源IP位址和生存時間值,根據該生存時間值計算該待檢測報文途徑網絡節點的跳數;
數據查詢單元,用於在本地數據表中查詢所述源IP位址對應的跳數集合;
數據更新單元,用於當所述跳數屬於所述跳數集合或該跳數與所述跳數集合中最大或最小跳數的差距小於預設閾值時,判斷所述待檢測報文為非偽造源IP的攻擊報文,更新所述本地數據表;否則,判斷所述待檢測報文為偽造源IP的攻擊報文。
圖3與圖1相對應,圖中各單元的運行方式與方法中的相同。
圖4為本發明一種DDOS防禦系統中檢測偽造源IP的裝置的實施例示意圖。
如圖4所示,還包括:
所述反向探測單元,用於當在本地數據表中查詢不到所述源IP位址,或查詢到的所述跳數集合為空集,或跳數與所述跳數集合中所述最大或最小跳數的差距不小於預設閾值,或所述源IP位址的反探測次數少於預設置信值時,向所述源IP位址發送反探測報文;
所述反向探測單元還與所述跳數計算單元相連,所述跳數計算單元還用於若收到所述源IP位址對所述反探測報文的響應報文,則根據所述響應報文的生存時間值計算反向跳數;所述數據更新單元,還用於將該反向跳數添加至所述源IP位址對應的跳數集合之中;
所述反向探測單元還與所述數據更新單元相連,所述數據更新單元還用於若收不到所述源IP位址對所述反探測報文的響應報文,則減少所述本地數據表中該源IP位址的可信度。
圖4與圖2相對應,圖中各單元的運行方式與方法中的相同。
優選地,所述本地數據表至少包含由連續的IP位址組成的IP位址段和該IP位址段對應的跳數集合,所述數據查詢單元,包括:
IP段排列單元,用於在本地數據表中以升序或降序對所述IP位址段進行排列;
歸屬查詢單元,用於根據所述源IP位址歸屬的IP位址段,獲取對應的跳數集合;
IP段校驗單元,用於根據所述反向跳數校驗所述跳數集合之中的其他跳數;當所述源IP位址的反向跳數與其所屬的IP位址段對應的跳數集合中其他跳數的差距不小於預設閾值,將該源IP位址從其所屬的IP位址段分離;當所述源IP位址的反向跳數與其相鄰的IP位址段對應的跳數集合中其他跳數的差距小於預設閾值,將該源IP位址與其相鄰的IP位址段合併。
優選地,所述跳數計算單元,包括:
初值估算單元,用於從報文生存時間的系統初始設置值當中,選取一個大於且最接近所述生存時間值的系統初始設置值,作為所述待檢測報文的報文初始值;
跳數推測單元,用於將所述報文初始值減去所述生存時間值,獲得該待檢測報文途徑網絡節點的跳數。
圖5為本發明一種DDOS防禦系統的示意圖,包括:交換機、清洗設備和檢測設備;其中,所述檢測設備包含如前述的DDOS防禦系統中檢測偽造源IP的裝置,所述清洗設備用於清洗偽造源IP;其中,所述交換機與目標伺服器相連,用於轉發訪問地址為目標伺服器的報文;所述清洗設備與所述交換機並聯,用於分流訪問地址為目標伺服器的報文;所述檢測設備連接在所述交換機與所述清洗設備之間,用於檢測訪問地址為目標伺服器的報文,生成本地數據表,以供所述清洗設備。
具體處理過程是:
檢測設備在判定沒有攻擊發生時,啟動(IP段,跳數)的學習和探測邏輯;
對鏡像過來的每個報文,進行分析,如果報文無異常,進入學習過程;如果報文有特殊協議指紋,則該次學習的可信度會更高;其中,特殊協議指紋是指由正版軟體的軟體商伺服器所發出的報文。
學習過程首先提取每個報文的源IP和TTL;然後根據TTL估算跳數,主流作業系統TTL初始值有32,64,128,255,且一般通信過程跳數不超過30跳,所以根據當前TTL向上就近推測出初始TTL,初始TTL減去當前TTL即得到源IP到達目標伺服器A的跳數D1;
利用源IP去查詢本地數據表,得到其所屬的IP段,跳數集合,學習和探測信息,可信度等信息。並將跳數D1與本地數據表中的跳數集合進行比對處理;當然,如果之前沒有學習和探測過,該記錄為空;
根據已經學習和探測的次數情況,可信度,跳數比對情況和預配置策略,決定是否需要繼續探測;如果能夠判定此次數據明顯錯誤,則丟棄不予處理;如果判定此次數據為有效,則跳到,更新本地數據表;如果需要繼續探測,則向探測模塊提交探測任務;
探測模塊根據提交的源IP,以及埠等信息向源IP發起ping或者tcpsyn反探測報文;
如果源IP響應了反探測報文,可以得到響應報文,計算源IP到達檢測設備的跳數為D2;
比較D1和D2,如果D1和D2的偏差為1,則認為D1有效;如果D1和D2誤差偏大,則需要參考檢測設備IP和目標伺服器A的網絡差異(是否跨運營商)來修正,根據修正結果來判定D1是否有效;如果判定D1有效,則跳到更新本地數據表,否則丟棄不予處理;
如果源IP不響應探測流量,也會跳到更新本地數據表,區別是可信度會比較低,經過多次有效學習後(比如帶有特殊協議指紋)才會不斷提到其可信度;
更新本地數據表記錄,修改學習和探測次數,修改可信度,優化跳數集合及其概率分布。如果該IP明顯區別於該IP段中其他IP,則把該IP拆分出來單獨記錄。
探測時,不論源IP是否反饋響應報文,均會根據本地數據表中記錄的學習情況、配置策略以及探測模塊的負載來決定是否選擇一些與該源IP相鄰的IP作為探測對象,重複中過程。
總之,學習和探測過程是一個擇優、驗證、迭代的人工智慧過程,隨著程序運行,記錄的結果就會越多越準確。
對於清洗處理過程:
清洗時,首先根據報文中攜帶的TTL值推測出跳數;
然後利用源IP查詢本地數據表得到所歸屬的IP段及其跳數集合分布,可信度等信息;
根據查找信息來判斷該源IP是否是確定的偽造源IP或真實源IP。
本技術方案帶來的有益效果是,有效的防止偽造源IP的DDOS攻擊方式,以及偽造源攻擊時DDOS防禦可能不能有效工作的情況。
所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統,裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。
以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對本發明專利範圍的限制。應當指出的是,對於本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。因此,本發明專利的保護範圍應以所附權利要求為準。