CN101877654A - 一种基于tcp报文的ip路径主动测量方法 - Google Patents
一种基于tcp报文的ip路径主动测量方法 Download PDFInfo
- Publication number
- CN101877654A CN101877654A CN2009100719004A CN200910071900A CN101877654A CN 101877654 A CN101877654 A CN 101877654A CN 2009100719004 A CN2009100719004 A CN 2009100719004A CN 200910071900 A CN200910071900 A CN 200910071900A CN 101877654 A CN101877654 A CN 101877654A
- Authority
- CN
- China
- Prior art keywords
- tcp
- message
- response message
- destination address
- ack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于TCP报文的IP路径主动测量方法,已有技术的探测报文容易被识别为测量路径行为或攻击行为而被过滤,从而破坏了路径测量的完整性。本发明的方法包括:针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,填充TCP报文首部和IP报文首部字段后发出该探测报文。如果在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;在给定时间内没有收到响应报文,则实施等待时间超时处理。本发明用于IP网络中抗过滤的测量方法。
Description
技术领域:
本发明涉及一种基于TCP报文的IP路径主动测量方法。
背景技术:
以主动测量方式探测网络拓扑路径主要是采用类似traceroute的方法,首先,从测量源点S向某个测量目标D发出TTL=1的探测报文,收到返回的ICMP超时报文,或者等待预先给定的时间t0(例如5秒)后,再发出TTL=2的报文,依此类推,直到收到探测目标返回的表明到达目标的报文,或者TTL增长到预先给定阈值(例如30)。这时针对测量目标D的路径探测过程结束。根据依次返回的报文中所包含的源IP地址,从而得到从测量源点S到测量目标D的拓扑路径。传统上,采用TCP报文探测时,同一测量源点都采用目的端口为80的SYN(这是TCP报文首部的一个标志位)报文,结果导致被检测出测量路径的行为或多点测量时被认为是SYN flood攻击行为而被过滤,即这种方法的探测报文容易被识别为测量路径的行为或攻击行为,从而破坏了对路径测量的完整性。
发明内容:
本发明的目的是提供一种基于TCP报文的IP路径主动测量方法。这种IP路径主动测量方法在路由器的基于目的网络地址的负载平衡和基于流的负载平衡机制的影响的情况下,发送的探测报文是具有熟知端口的混合类型的TCP报文,使探测报文抗识别和过滤,从而保证了路径测量的完整性。
上述的目的通过以下的技术方案实现:
一种基于TCP报文的IP路径主动测量方法,包括以下步骤:
步骤1,针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口;
步骤2,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特;
步骤3,按协议的规定填充TCP报文首部和IP报文首部字段,包括在TCP首部的序列号字段和IP首部的标识字段记录对应的进程信息和探测报文编号,后发出该探测报文;
步骤4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理。
所述的一种基于TCP报文的IP路径主动测量方法,所述的控制比特的集合为{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}或其子集合。
上述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地址D,选取TCP报文首部中的目的端口,是针对目标地址D,从规定的熟知端口区间1至1023中选择一个TCP服务端口,作为探测报文的目的端口,在一个测量源点,对同一目标地址D,目的端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的目的端口保持不变。
所述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,继续探测;
b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内没有收到响应报文则实施等待时间超时处理是:若探测还没有达到预定跳数的阈值,则对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,继续探测,否则,中止针对该目标地址的探测。
本发明有益效果:
1、本发明权利要求1中的步骤2以及权利要求2使得发送TCP探测报文时,通向同一目标地址D的各跳探测报文中的控制比特随机选择,这样避免了已有技术中来自同一测量源点都采用SYN类型报文导致被检测出测量路径的行为或多点测量时被认为是SYN flood攻击行为而被过滤,即本方法的探测报文不易被识别为测量路径的行为或攻击行为,增加了过滤难度,从而对路径测量的完整性提供了保证。
2、本方法中,权利要求1中的步骤1以及权利要求3使得对不同的测量目标地址,探测报文的目的端口从熟知端口区间1至1023中选择,即与已有技术采用80端口相比,可以采用非80端口作为目的端口,使不同的目标地址其目的端口可以不同,扩展了测量空间,降低了被识别为测量路径的行为或攻击行为的程度,并增强了探测能力;权利要求1中的步骤1以及权利要求5使得源端口可以选择低于10000的端口号,甚至是本测量源点主机没有启动TCP服务的熟知端口,与已有技术中只采用高端口相比也降低了被认为是测量行为或攻击行为的程度。
3、本方法也考虑了路由器的基于目的网络地址的负载平衡和基于流的负载平衡机制对探测路径的影响,针对某一目标地址D的各跳探测报文中的源端口和目的端口不变,保证通向同一测量目标的探测报文的路径同一性。
本发明的具体实施方式:
实施例1:
一种基于TCP报文的lP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口179作为探测报文的目的端口。选择低于10000的、本测量源点主机未启动TCP服务的端口8087作为探测报文的源端口。
对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}或其子集合中选取一项,作为TCP探测报文首部中的控制比特。
例如,第一个探测报文选择了FIN作为控制比特,第二个探测报文选择了ACK作为控制比特,第三个探测报文选择了SYN+ACK作为控制比特,第四个探测报文选择了SYN+URG作为控制比特,第五个探测报文选择了FIN+ACK作为控制比特,......,等等。
填充TCP报文首部和lP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测;如果探测达到预定跳数的阈值30,则中止针对该目标地址的探测。
实施例2:
一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口110作为探测报文的目的端口。选择本测量源点主机没有启动TCP服务的熟知端口25作为探测报文的源端口。
对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}的子集合{FIN+ACK,SYN+ACK}中选取一项,例如本次选取了SYN+ACK,作为通向同一目标地址D的TCP探测报文首部中的控制比特。
填充TCP报文首部和lP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测。
实施例3:
一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择提供TCP服务熟知端口23作为探测报文的目的端口。选择高于10000的端口号32777作为探测报文的源端口。
对通向同一目标地址D的每个(包括每跳)探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}的子集合{FIN+ACK}中选取一项,例如本次选取了FIN+ACK,作为通向同一目标地址D的TCP探测报文首部中的控制比特。
填充TCP报文首部和IP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值33,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值33,则继续探测;如果探测达到预定跳数的阈值33,则中止针对该目标地址的探测。
Claims (10)
1.一种基于TCP报文的IP路径主动测量方法,其特征是,包括以下步骤:
步骤1,针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口;
步骤2,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特;
步骤3,按协议的规定填充TCP报文首部和IP报文首部字段,包括在TCP首部的序列号字段和IP首部的标识字段记录对应的进程信息和探测报文编号,后发出该探测报文;
步骤4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理。
2.根据权利要求1所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的控制比特的集合为{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}或其子集合。
3.根据权利要求1或2所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的针对给定的探测目标地址D,选取TCP报文首部中的目的端口,是针对目标地址D,从规定的熟知端口区间1至1023中选择一个TCP服务端口,作为探测报文的目的端口,在一个测量源点,对同一目标地址D,目的端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的目的端口保持不变。
4.根据权利要求1或2所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
5.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
6.根据权利要求1或2或5所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利要求1中的步骤2继续探测;
b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
7.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利要求1中的步骤2继续探测;
b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
8.根据权利要求4所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利要求1中的步骤2继续探测;
b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
9.根据权利要求1或2或5或7或8所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的在给定时间内没有收到响应报文则实施等待时间超时处理是:若探测还没有达到预定跳数的阈值,则转权利要求1中的步骤2继续探测,否则,中止针对该目标地址的探测。
10.根据权利要求3所述的一种基于TCP报文的IP路径主动测量方法,其特征是:所述的在给定时间内没有收到响应报文则实施等待时间超时处理是:若探测还没有达到预定跳数的阈值,则转权利要求1中的步骤2继续探测,否则,中止针对该目标地址的探测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100719004A CN101877654B (zh) | 2009-04-28 | 2009-04-28 | 一种基于tcp报文的ip路径主动测量方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100719004A CN101877654B (zh) | 2009-04-28 | 2009-04-28 | 一种基于tcp报文的ip路径主动测量方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101877654A true CN101877654A (zh) | 2010-11-03 |
CN101877654B CN101877654B (zh) | 2012-04-04 |
Family
ID=43020124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100719004A Expired - Fee Related CN101877654B (zh) | 2009-04-28 | 2009-04-28 | 一种基于tcp报文的ip路径主动测量方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101877654B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103299583A (zh) * | 2010-11-18 | 2013-09-11 | 瑞典爱立信有限公司 | 测量源于单个端点的ip路径的可用容量和紧链路容量的系统和方法 |
CN108924000A (zh) * | 2018-06-19 | 2018-11-30 | 成都网丁科技有限公司 | 一种基于tcp协议实现的新型网络路径探测方法 |
CN113645225A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全设备探测方法、装置、设备及可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101321092A (zh) * | 2008-07-07 | 2008-12-10 | 上海华为技术有限公司 | 一种测量互联网协议传输网服务质量的方法和装置 |
-
2009
- 2009-04-28 CN CN2009100719004A patent/CN101877654B/zh not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103299583A (zh) * | 2010-11-18 | 2013-09-11 | 瑞典爱立信有限公司 | 测量源于单个端点的ip路径的可用容量和紧链路容量的系统和方法 |
CN103299583B (zh) * | 2010-11-18 | 2016-10-19 | 瑞典爱立信有限公司 | 测量源于单个端点的ip路径的可用容量和紧链路容量的系统和方法 |
CN108924000A (zh) * | 2018-06-19 | 2018-11-30 | 成都网丁科技有限公司 | 一种基于tcp协议实现的新型网络路径探测方法 |
CN108924000B (zh) * | 2018-06-19 | 2021-09-07 | 成都网丁科技有限公司 | 一种基于tcp协议实现的新型网络路径探测方法 |
CN113645225A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络安全设备探测方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101877654B (zh) | 2012-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7992208B2 (en) | Detection of nonconforming network traffic flow aggregates for mitigating distributed denial of service attacks | |
US20060013143A1 (en) | Network looping detecting apparatus | |
CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
CN106034056B (zh) | 一种业务安全分析的方法和系统 | |
Kühlewind et al. | On the State of ECN and TCP Options on the Internet | |
US8667585B2 (en) | Transmission control protocol flooding attack prevention method and apparatus | |
CN105071987B (zh) | 基于流量分析的加密网络路径质量分析方法 | |
EP3331205A1 (en) | Data packet transmission method utilized in ipv6 network and device utilizing same | |
US9183382B2 (en) | Method for blocking a denial-of-service attack | |
CN101877654B (zh) | 一种基于tcp报文的ip路径主动测量方法 | |
CN104901953B (zh) | 一种arp欺骗的分布式检测方法及系统 | |
CN104883360A (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
CN102195832A (zh) | 一种环回测试方法、装置及系统 | |
CN114301676B (zh) | 一种电力监控系统的无损化资产探测方法、装置和存储介质 | |
CN101888310B (zh) | 一种基于udp报文的ip路径主动测量方法 | |
CN106657126A (zh) | 检测及防御DDoS攻击的装置及方法 | |
CN101729312B (zh) | 基于arp协议的链路检测方法和系统 | |
CN105812318A (zh) | 用于在网络中防止攻击的方法、控制器和系统 | |
CN101764759A (zh) | 基于开放最短路径优先报文因特网协议路径主动测量方法 | |
CN114338120B (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
CN107018116A (zh) | 监控网络流量的方法、装置及服务器 | |
CN102315962A (zh) | 探测以太网最大传输单元的方法及维护端点 | |
Mahdavi et al. | RFC2498: IPPM Metrics for Measuring Connectivity | |
CN101119376B (zh) | 防止IPv6报文攻击的方法及网络设备 | |
CN103312562B (zh) | 一种检测p2p流量的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120404 Termination date: 20150428 |
|
EXPY | Termination of patent right or utility model |