本申請提供一種攻擊報文的溯源方法和裝置,該方法為:獲取待溯源的攻擊報文;確定所述攻擊報文的五元組和攻擊時間段;根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。上述方法利用了netflow日志,無論抓取到的攻擊報文攜帶的源IP地址是否真實,均可以通過netflow日志分析出已知攻擊報文的轉發路徑,從而確定出攻擊報文的真實來源。
【技術實現步驟摘要】
本申請涉及通信
,尤其涉及一種攻擊報文的溯源方法和裝置。
技術介紹
網絡環境中存在著攻擊報文,攻擊報文會對服務、鏈路等資源造成威脅和影響。雖然大部分攻擊報文可以在攻擊末端進行防御處理,但攻擊報文在網絡中的轉發仍會造成運營商的鏈路資源的占用和浪費。為了能在源頭上對攻擊報文進行防御,往往需要查詢攻擊報文的來源(以下簡稱攻擊源),此過程稱為攻擊報文的溯源。一種溯源手段為在攻擊末端抓取攻擊報文,通過分析工具查找攻擊報文的源網際協議(InternetProtocol,IP)地址,查找到的源IP地址即為攻擊源。但由于網絡中的報文是基于目的IP地址轉發的,因此攻擊源可以對攻擊報文的源IP地址進行偽造來躲避溯源。這導致通過上述方式從攻擊報文中獲取到的源IP地址可能是被攻擊源偽造后的虛假源地址,這給攻擊源的確定帶來了難度。
技術實現思路
有鑒于此,本申請提供一種攻擊報文的溯源方法和裝置,可以解決攻擊報文攜帶了虛假源地址這種情況下的攻擊溯源問題。具體地,本申請是通過如下技術方案實現的:本申請第一方面,提供了一種攻擊報文的溯源方法,所述方法包括:獲取待溯源的攻擊報文;確定所述攻擊報文的五元組和攻擊時間段;根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。在一個可能的設計中,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識時,可以通過如下方式實現:首先,在預先獲取的netflow日志中查詢與所述五元組和攻擊時間段匹配的路由器的標識;然后,將查詢到的所述匹配的路由器的標識確定是所述攻擊報文經過的路由器的標識;其中,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻落在所述攻擊時間段內;或者,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻與所述攻擊時間段的開始時刻的差值的絕對值小于設定閾值;或者,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻與所述攻擊時間段的結束時刻的差值的絕對值小于設定閾值。在一個可能的設計中,在將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列時,可以通過如下方式實現:首先,獲取網絡拓撲;然后,將查詢到的路由器的標識按照所述網絡拓撲指示的路由器連接關系進行排列。在一個可能的設計中,在將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列時,可以通過如下方式實現:首先,獲取路由器的下一跳信息;然后,將查詢到的路由器的標識按照所述下一跳信息指示的路由器連接關系進行排列。在一個可能的設計中,在將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列時,可以通過如下方式實現:首先,獲取各路由器轉發所述攻擊報文的時刻;然后,將查詢到的路由器的標識按照轉發所述攻擊報文的先后順序進行排列。本申請第二方面,提供了一種攻擊報文的溯源裝置,所述裝置具有實現上述方法的功能。所述功能可以通過硬件實現,也可以通過硬件執行相應的軟件實現。所述硬件或軟件包括一個或多個與上述功能相對應的模塊或單元。一種可能的實現方式中,所述攻擊報文的溯源裝置可以包括:獲取單元,用于獲取待溯源的攻擊報文;確定單元,用于確定所述攻擊報文的五元組和攻擊時間段;查詢單元,用于根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;排列單元,用于將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;溯源單元,用于將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。另一種可能的實現方式中,所述攻擊報文的溯源裝置可以包括網絡接口和處理器,所述網絡接口和所述處理器之間通過總線系統相互連接;所述處理器用于執行以下操作:通過所述網絡接口獲取待溯源的攻擊報文;確定所述攻擊報文的五元組和攻擊時間段;根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。本申請提供的方法通過收集全網的netflow日志,從中分析出已知攻擊報文的轉發路徑,從而確定出攻擊報文的真實來源。附圖說明圖1是本申請實施例提供的一種系統架構的示意圖;圖2是本申請實施例提供的一種攻擊報文的溯源方法的流程圖;圖3A和圖3B是本申請提供的一個實施例的網絡示意圖;圖4是本申請實施例提供的一種攻擊報文的溯源裝置的結構示意圖;圖5是本申請實施例提供的另一種攻擊報文的溯源裝置的結構示意圖。具體實施方式這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。在本申請使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項目的任何或所有可能組合。應當理解,盡管在本申請可能采用術語第一、第二、第三等來描述各種信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼此區分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應于確定”。下面結合說明書附圖和各實施例對本申請技術方案進行說明。本申請提供的方法通過收集全網的netflow日志,從中分析出已知攻擊報文的轉發路徑,從而確定出攻擊報文的真實來源。下面通過圖1對本申請提供的方法所應用的系統架構進行描述:參見圖1,圖1為本申請提供的一種系統架構圖,該系統架構可包括路由器和溯源裝置。下面分別對本系統架構所涉及的各網元的功能進行說明。路由器,用于在不同的子網之間傳遞報文。根據部署位置的不同,路由器可分為省級路由器、地市級路由器、縣級路由器等。每臺路由器上都保存有netflow日志,netflow日志記錄了該路由器轉發過的報文的五元組、傳輸控制協議標識(TCPflag)、接口、路由,以及該路由器轉發報文時的時間點等相關信息信息。本申請實施例中,路由器還可以用于將本路由器上存儲的netflow日志發送給溯源裝置進行存儲。溯源裝置,用于接收各路由器的netflow日志,并在接收到netflow日志時進行解析存儲,存儲完成后等待有攻擊發生時查找使用。當攻擊發生時,溯源裝置可以通過本裝置上的其它功能或其它攻擊發現設備獲取到攻擊報文的相關信息,如攻擊報文的五元組(源IP地址、目的IP地址、源端口、目的端口和傳輸層協議)以及攻擊發生的時間段等信息。溯源裝置在確定上述信息后,在本地預先存儲的netflow日志中查詢與本文檔來自技高網...
【技術保護點】
一種攻擊報文的溯源方法,其特征在于,包括:獲取待溯源的攻擊報文;確定所述攻擊報文的五元組和攻擊時間段;根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。
【技術特征摘要】
1.一種攻擊報文的溯源方法,其特征在于,包括:獲取待溯源的攻擊報文;確定所述攻擊報文的五元組和攻擊時間段;根據所述五元組和攻擊時間段,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識;將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列;將得到的排列結果中的第一個路由器的標識所對應的路由器確定為所述攻擊報文的攻擊源。2.如權利要求1所述的方法,其特征在于,在預先獲取的netflow日志中查詢所述攻擊報文經過的路由器的標識,包括:在預先獲取的netflow日志中查詢與所述五元組和攻擊時間段匹配的路由器的標識;將查詢到的所述匹配的路由器的標識確定是所述攻擊報文經過的路由器的標識;其中,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻落在所述攻擊時間段內;或者,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻與所述攻擊時間段的開始時刻的差值的絕對值小于設定閾值;或者,所述匹配的路由器轉發過攜帶所述五元組的報文,且轉發該報文的時刻與所述攻擊時間段的結束時刻的差值的絕對值小于設定閾值。3.如權利要求1所述的方法,其特征在于,所述將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列包括:獲取網絡拓撲;將查詢到的路由器的標識按照所述網絡拓撲指示的路由器連接關系進行排列。4.如權利要求1所述的方法,其特征在于,所述將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列包括:獲取路由器的下一跳信息;將查詢到的路由器的標識按照所述下一跳信息指示的路由器連接關系進行排列。5.如權利要求1所述的方法,其特征在于,所述將查詢到的路由器的標識按照所述攻擊報文的轉發順序進行排列包括:獲取各路由器轉發所述攻擊報文的時刻;將查詢...
【專利技術屬性】
技術研發人員:佟立超,
申請(專利權)人:杭州迪普科技股份有限公司,
類型:發明
國別省市:浙江;33
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。