The invention provides a detection method and device for traffic hijacking, and relates to the field of data processing technology. The method includes: acquiring a request packet and a response packet for analyzing traffic hijacking in a preset period of time at the network interface; processing the response packet to obtain the standard deviation of TTL return values corresponding to multiple IP addresses in the network; and if the standard deviation of TTL return values corresponding to IP addresses is greater than that of the network address. Or equal to the jitter threshold of the TLL return value in the preset network, the IP address is determined as the first IP address suspected of traffic hijacking; the number of response packets corresponding to the first request packet with the destination IP address as the first IP address in the request packet is determined according to the first IP address; and when the first request packet is judged to correspond to the first request packet. When the number of response packets is greater than or equal to the default number, it is determined that the first IP address corresponding to the first request packet is the IP address with traffic hijacking.
【技术实现步骤摘要】
一种流量劫持的检测方法及装置
本专利技术涉及数据处理
,具体地,涉及一种流量劫持的检测方法及装置。
技术介绍
随着宽带的快速发展,上网用户量和流量在激增的同时,用户的点击量和流量的导向存在着重要的价值。为此网络便存在大量的流量异常现象,例如,DNS(domainnameservice,域名服务)劫持、HTTP(HyperTextTransportProtocol,超文本传输协议)链路劫持等等,恶意修改用户访问网站的返回内容,导致用户的使用感知质量下降,容易引起批量投诉,并对运营商网络造成安全隐患。为了净化网络环境,提高用户感知,稳定用户群,同时也响应电信局关于整治优化网络环境的315专题活动,故有必要研究异常流量的检测和定位方案,协助找出网络中流量异常的域名的IP地址及流量异常源。在介绍现有技术方案之前,简要地描述一下HTTP链路劫持的基本原理。在HTTP协议的交互过程中,终端的客户端没有办法识别返回的应答是否是服务器返回的,还是第三方返回的,因此,第三方可在链路层架设旁听设备进行链路监控。当监测到终端的请求报文符合劫持策略时,第三方就会向所述终端返回伪造的响应数据包,伪造的响应数据包会在正常的响应数据包到达客户端之前到达客户端,客户端简单地信任了第三方的应答,丢弃了真正的应答,便形成了链路劫持。图1是HTTP链路劫持的示意图。如图1所示,可看出劫持源距离客户端的物理位置肯定比服务器距离客户端的物理位置更近一些,否则返回的伪造的响应数据包便会晚于正常的响应数据包到达客户端,HTTP链路劫持将会失败。目前,针对流量劫持的检测,现有技术主要通过以下两种方...
【技术保护点】
1.一种流量劫持的检测方法,其特征在于,所述方法包括:在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
【技术特征摘要】
1.一种流量劫持的检测方法,其特征在于,所述方法包括:在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。2.根据权利要求1所述的流量劫持的检测方法,其特征在于,所述方法还包括:当判断所述第一请求数据包所对应的第一响应数据包的数量小于预设数量时,判断所述终端与所述网络的会话中的响应数据包的源IP地址是否为所述第一请求数据包对应的第一IP地址;若是,判断所述会话中第一个响应数据包的ID值与所述会话中第二个响应数据包的ID值的差值是否大于第一预设值;若是,判断所述会话中第m-1个响应数据包的ID值与所述会话中第m个响应数据包的ID值的差值是否小于或等于第二预设值;若是,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,其中,m表示正整数,且3≤m≤n,n表示所述会话中包括的响应数据包的个数。3.根据权利要求1或2所述的流量劫持的检测方法,其特征在于,所述方法还包括:根据所述第二IP地址在所述请求数据包中查找到目的IP地址为所述第二IP地址的第二请求数据包;根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值;将所述第二IP地址对应的RTT值与预设的RTT值进行比较,得到比较结果;当根据所述比较结果判断所述第二IP地址对应的RTT值小于预设的RTT值时,则确定所述第二IP地址的劫持源所在的区域为省网内。4.根据权利要求3所述的流量劫持的检测方法,其特征在于,所述方法还包括:使用trancert命令确定在所述网络中所述第二请求数据包访问所述第二IP地址所采取的路径;使用协议包构造工具Scapy以TTL值递增的方式伪造请求数据包,并将伪造的请求数据包依次发送至所述网络中,所述伪造的请求数据包的目的IP地址为所述第二IP地址;当接收到所述网络根据所述伪造的请求数据包返回的响应数据包时,根据所述路径和使得所述网络返回所述响应数据包的伪造的请求数据包的TTL值确定所述第二IP地址的劫持源旁听的路由位置。5.根据权利要求1所述的流量劫持的检测方法,其特征在于,所述对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差,包括:根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的...
【专利技术属性】
技术研发人员:孙剑骏,李永强,范春湘,徐木生,李维,袁晓明,
申请(专利权)人:中国移动通信集团广东有限公司,中国移动通信集团公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。