【技术实现步骤摘要】
本申请涉及安全防护,尤其涉及一种攻击溯源系统及方法。
技术介绍
1、分布式拒绝服务(distributed denial of service,ddos)反射攻击是ddos攻击活动中常用的攻击方法,攻击者利用公网中的反射器来反射放大攻击流量,造成目标网络不稳定,服务不可用甚至瘫痪,具体的,攻击者方设备(以下简称控制设备)通常会通过探测报文探测反射器,在探测到反射器后,向反射器发送攻击报文,并设置该攻击报文的源ip地址为受害端的ip地址,反射器在接收到该攻击报文后,将该攻击报文反射至源ip地址对应的设备,从而实现对受害端的攻击。ddos反射攻击作为一种古老的攻击手段,到目前为止,仍被攻击者广泛使用。在受害端只能获取到反射器的地址,而无法获取真正发起攻击的控制设备的地址,虽然针对ddos反射攻击的防护技术已经相对成熟且商业化程度较高,但由于ddos反射攻击时通过伪造源ip地址,欺骗反射器,从而打击受害端,因此无法溯源控制设备。
2、ddos反射攻击溯源过程就是要找到反射器控制ip,即控制设备的ip地址,从而溯源到反射控制设备,这...
【技术保护点】
1.一种攻击溯源系统,其特征在于,所述系统包括:具有反射器功能的虚拟反射器及服务器;
2.根据权利要求1所述的系统,其特征在于,所述服务器,还用于获取所述报文中的协议类型,若所述协议类型为预设反射器协议的类型,且所述报文的报文长度位于预设长度范围内,则确定所述报文为访问报文,其中,所述访问报文包括攻击报文及探测报文,并执行后续获取所述报文中的第二TTL的步骤。
3.根据权利要求1所述的系统,其特征在于,所述服务器,具体用于获取包含所述报文的第一报文组;其中,所述第一报文组为按照第一预设时间间隔对接收到的每个报文进行划分得到的;
4....
【技术特征摘要】
1.一种攻击溯源系统,其特征在于,所述系统包括:具有反射器功能的虚拟反射器及服务器;
2.根据权利要求1所述的系统,其特征在于,所述服务器,还用于获取所述报文中的协议类型,若所述协议类型为预设反射器协议的类型,且所述报文的报文长度位于预设长度范围内,则确定所述报文为访问报文,其中,所述访问报文包括攻击报文及探测报文,并执行后续获取所述报文中的第二ttl的步骤。
3.根据权利要求1所述的系统,其特征在于,所述服务器,具体用于获取包含所述报文的第一报文组;其中,所述第一报文组为按照第一预设时间间隔对接收到的每个报文进行划分得到的;
4.根据权利要求3所述的系统,其特征在于,所述服务器,具体用于若所述每个第一ttl与所述每个第二ttl的偏差均小于阈值,则确定所述报文为探测报文。
5.根据权利要求1所述的系统,其特征在于,所述虚拟反射器,具体用于判断是否针对所述目标源ip地址保存有对应的ttl,且保存的ttl是否在有效时限内;
6.根据权利要求1所述的系统,其特征在于,所述服务器,还用于判断所述目标源ip地址是否为内容分发网络cdn地址,若否,则执行后续获取所述报文中的第二ttl的步骤。
【专利技术属性】
技术研发人员:李玉杰,吴铁军,叶晓虎,兰星,杨杰,千佳琪,
申请(专利权)人:绿盟科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。