The present application provides a method and device for discovering an DDoS attack. The method includes: network protocol analysis of DDoS attack program to extract the sample, the sample DDoS attack program used by the network protocol; in the network search operation DDoS attack control program based on the network protocol of the host, in order to determine the control of DDoS attacks in the control of the host according to the network protocol; the simulation control of the host control machine by the puppet in order to receive the control to the host machine instructions issued puppet attack attack. According to the technical scheme of this application, the master host capable of controlling the puppet machine to start the DDoS attack can be learned, and the real attacker behind it can be related.
【技术实现步骤摘要】
发现DDoS攻击的方法及装置
本申请涉及DDoS攻击防御领域,尤其涉及一种发现DDoS攻击的方法及装置。
技术介绍
DDoS攻击是指黑客通过控制大量的傀儡机,消耗攻击目标的计算资源阻止目标为合法用户提供服务。现有的DDoS防御系统,主要是保护目标免受攻击者的DDoS攻击,而攻击者一般是由黑客控制的傀儡机,因此,现有的DDoS防御系统,是无法获知背后的真正攻击者到底是谁。最基本的DDoS攻击主要是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。现有的DDoS防御系统,主要根据流量判断是否受到DDoS攻击,然而,在攻击者开始发动DDoS攻击时,由于初始流量较小,无法在第一时间准确判断是否要被攻击。
技术实现思路
本申请的一个目的是提供一种发现DDoS攻击的方法及装置,能够获知控制傀儡机发动DDoS攻击的中控主机及其攻击的目标主机。根据本申请的一方面,提供了一种发现DDoS攻击的方法,其中,该方法包括以下步骤:对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。可选地,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。可选地,对DDoS攻击程序样本进行网络协议分 ...
【技术保护点】
一种发现DDoS攻击的方法,其特征在于,该方法包括以下步骤:对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
【技术特征摘要】
1.一种发现DDoS攻击的方法,其特征在于,该方法包括以下步骤:对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。2.根据权利要求1所述的方法,其特征在于,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。3.根据权利要求1所述的方法,其特征在于,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。4.根据权利要求1所述的方法,其特征在于,在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机的步骤包括:向网络中的各个主机发送所述网络协议的数据包;检测接收到的各个主机返回的数据包是否与预定结果匹配;将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。5.根据权利要求1所述的方法,其特征在于,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤包括:向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;接收扫描出的各个中控主机中至少一个下达的攻击指令;通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。6.根据权利要求5所述的方法,其特征在于,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤还包括:向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通...
【专利技术属性】
技术研发人员:李然,王海东,宋加生,崔一山,张建飞,梁永喜,周晓敏,叶根深,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。