CN101877654B - 一种基于tcp报文的ip路径主动测量方法 - Google Patents

一种基于tcp报文的ip路径主动测量方法 Download PDF

Info

Publication number
CN101877654B
CN101877654B CN2009100719004A CN200910071900A CN101877654B CN 101877654 B CN101877654 B CN 101877654B CN 2009100719004 A CN2009100719004 A CN 2009100719004A CN 200910071900 A CN200910071900 A CN 200910071900A CN 101877654 B CN101877654 B CN 101877654B
Authority
CN
China
Prior art keywords
tcp
probe messages
response message
destination address
ack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2009100719004A
Other languages
English (en)
Other versions
CN101877654A (zh
Inventor
姜誉
方滨兴
任健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Heilongjiang University
Original Assignee
Heilongjiang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Heilongjiang University filed Critical Heilongjiang University
Priority to CN2009100719004A priority Critical patent/CN101877654B/zh
Publication of CN101877654A publication Critical patent/CN101877654A/zh
Application granted granted Critical
Publication of CN101877654B publication Critical patent/CN101877654B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于TCP报文的IP路径主动测量方法,已有技术的探测报文容易被识别为测量路径行为或攻击行为而被过滤,从而破坏了路径测量的完整性。本发明的方法包括:针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,填充TCP报文首部和IP报文首部字段后发出该探测报文。如果在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;在给定时间内没有收到响应报文,则实施等待时间超时处理。本发明用于IP网络中抗过滤的测量方法。

Description

一种基于TCP报文的IP路径主动测量方法
技术领域
本发明涉及一种基于TCP报文的IP路径主动测量方法。
背景技术:
以主动测量方式探测网络拓扑路径主要是采用类似traceroute的方法,首先,从测量源点S向某个测量目标D发出TTL=1的探测报文,收到返回的ICMP超时报文,或者等待预先给定的时间t0(例如5秒)后,再发出TTL=2的报文,依此类推,直到收到探测目标返回的表明到达目标的报文,或者TTL增长到预先给定阈值(例如30)。这时针对测量目标D的路径探测过程结束。根据依次返回的报文中所包含的源IP地址,从而得到从测量源点S到测量目标D的拓扑路径。传统上,采用TCP报文探测时,同一测量源点都采用目的端口为80的SYN(这是TCP报文首部的一个标志位)报文,结果导致被检测出测量路径的行为或多点测量时被认为是SYN flood攻击行为而被过滤,即这种方法的探测报文容易被识别为测量路径的行为或攻击行为,从而破坏了对路径测量的完整性。
发明内容:
本发明的目的是提供一种基于TCP报文的IP路径主动测量方法。这种IP路径主动测量方法在路由器的基于目的网络地址的负载平衡和基于流的负载平衡机制的影响的情况下,发送的探测报文是具有熟知端口的混合类型的TCP报文,使探测报文抗识别和过滤,从而保证了路径测量的完整性。
上述的目的通过以下的技术方案实现:
一种基于TCP报文的IP路径主动测量方法,包括以下步骤:
步骤1,针对给定的探测目标地址D,选取TCP报文首部中的目的端口和源端口;
步骤2,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特;
步骤3,按协议的规定填充TCP报文首部和IP报文首部字段,包括在TCP首部的序列号字段和IP首部的标识字段记录对应的进程信息和探测报文编号,后发出该探测报文;
步骤4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理。
所述的一种基于TCP报文的IP路径主动测量方法,所述的控制比特的集合为{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}或其子集合。
上述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地址D,选取TCP报文首部中的目的端口,是针对目标地址D,从规定的熟知端口区间1至1023中选择一个TCP服务端口,作为探测报文的目的端口,在一个测量源点,对同一目标地址D,目的端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的目的端口保持不变。
所述的一种基于TCP报文的IP路径主动测量方法,所述的针对给定的探测目标地址D,选取TCP报文首部中的源端口是针对目标地址D,从规定的端口号区间1至65535中选择一个端口号,也包括本测量源点主机没有启动TCP服务的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址D,源端口一旦选定,则该测量源点发出的针对同一目标地址D的所有探测报文的源端口保持不变。
所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a该响应报文是“ICMP TTL超时”报文,并且探测还没有达到预定跳数的阈值,对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,继续探测;
b该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
所述的一种基于TCP报文的IP路径主动测量方法,所述的在给定时间内没有收到响应报文则实施等待时间超时处理是:若探测还没有达到预定跳数的阈值,则对通向同一目标地址D的每个探测报文,随机地从控制比特集合中选取一项,作为TCP探测报文首部中的控制比特,继续探测,否则,中止针对该目标地址的探测。
本发明有益效果:
1、本发明权利要求1中的步骤2以及权利要求2使得发送TCP探测报文时,通向同一目标地址D的各跳探测报文中的控制比特随机选择,这样避免了已有技术中来自同一测量源点都采用SYN类型报文导致被检测出测量路径的行为或多点测量时被认为是SYN flood攻击行为而被过滤,即本方法的探测报文不易被识别为测量路径的行为或攻击行为,增加了过滤难度,从而对路径测量的完整性提供了保证。
2、本方法中,权利要求1中的步骤1以及权利要求3使得对不同的测量目标地址,探测报文的目的端口从熟知端口区间1至1023中选择,即与已有技术采用80端口相比,可以采用非80端口作为目的端口,使不同的目标地址其目的端口可以不同,扩展了测量空间,降低了被识别为测量路径的行为或攻击行为的程度,并增强了探测能力;权利要求1中的步骤1以及权利要求5使得源端口可以选择低于10000的端口号,甚至是本测量源点主机没有启动TCP服务的熟知端口,与已有技术中只采用高端口相比也降低了被认为是测量行为或攻击行为的程度。
3、本方法也考虑了路由器的基于目的网络地址的负载平衡和基于流的负载平衡机制对探测路径的影响,针对某一目标地址D的各跳探测报文中的源端口和目的端口不变,保证通向同一测量目标的探测报文的路径同一性。
本发明的具体实施方式:
实施例1:
一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口179作为探测报文的目的端口。选择低于10000的、本测量源点主机未启动TCP服务的端口8087作为探测报文的源端口。
对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}或其子集合中选取一项,作为TCP探测报文首部中的控制比特。
例如,第一个探测报文选择了FIN作为控制比特,第二个探测报文选择了ACK作为控制比特,第三个探测报文选择了SYN+ACK作为控制比特,第四个探测报文选择了SYN+URG作为控制比特,第五个探测报文选择了FIN+ACK作为控制比特,......,等等。
填充TCP报文首部和IP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测;如果探测达到预定跳数的阈值30,则中止针对该目标地址的探测。
实施例2:
一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择一个TCP服务熟知端口110作为探测报文的目的端口。选择本测量源点主机没有启动TCP服务的熟知端口25作为探测报文的源端口。
对通向同一目标地址D的每个探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}的子集合{FIN+ACK,SYN+ACK}中选取一项,例如本次选取了SYN+ACK,作为通向同一目标地址D的TCP探测报文首部中的控制比特。
填充TCP报文首部和IP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值30,则继续探测。
实施例3:
一种基于TCP报文的IP路径主动测量方法,发送TCP报文作为探测报文:针对某一目标地址D,从熟知端口区间1至1023中选择提供TCP服务熟知端口23作为探测报文的目的端口。选择高于10000的端口号32777作为探测报文的源端口。
对通向同一目标地址D的每个(包括每跳)探测报文,随机地从集合{ACK,SYN+ACK,FIN+ACK,PSH+ACK,URG+ACK,FIN,FIN+PSH,FIN+URG,SYN,SYN+PSH,SYN+URG}的子集合{FIN+ACK}中选取一项,例如本次选取了FIN+ACK,作为通向同一目标地址D的TCP探测报文首部中的控制比特。
填充TCP报文首部和IP报文首部字段后发出探测报文。
在给定时间内如果收到“ICMP TTL超时”响应报文,并且探测还没有达到预定跳数的阈值33,则继续探测;如果收到ICMP不可达类型报文,或者收到的是控制比特为RST,或者控制比特为RST+ACK,或者控制比特为SYN+ACK的TCP报文,则中止针对该目标地址的探测。
在给定时间内如果没有收到响应报文,并且探测还没有达到预定跳数的阈值33,则继续探测;如果探测达到预定跳数的阈值33,则中止针对该目标地址的探测。

Claims (1)

1.一种基于 TCP 报文的IP 路径主动测量方法,其特征是,包括以下步骤:
步骤 1,针对给定的探测目标地址 D,选取 TCP 报文首部中的目的端口和源端口;
步骤 2,对通向同一目标地址 D 的每个探测报文,随机地从控制比特集合中选取一项,作为 TCP 探测报文首部中的控制比特;
步骤 3,按协议的规定填充 TCP 报文首部和IP 报文首部字段,包括在 TCP 报文首部的序列号字段和IP报文首部的标识字段记录对应的进程信息和探测报文编号,然后发出该探测报文;
步骤 4,在给定时间内收到响应报文,则根据响应报文类型实施对响应报文的处理;或者在给定时间内没有收到响应报文,则实施等待时间超时处理;
所述的控制比特的集合为{ACK , SYN +ACK , FIN +ACK , PSH+ ACK , URG + ACK , FIN , FIN + PSH, FIN + URG , SYN , SYN + PSH , SYN + URG }或其子集合;
所述的针对给定的探测目标地址 D ,选取 TCP 报文首部中的目的端口,是针对目标地址 D ,从规定的熟知端口区间 1 至 1023 中选择一个 TCP 服务端口,作为探测报文的目的端口,在一个测量源点,对同一目标地址D ,目的端口一旦选定,则该测量源点发出的针对同一目标地址 D 的所有探测报文的目的端口保持不变;
所述的针对给定的探测目标地址 D ,选取 TCP 报文首部中的源端口是针对目标地址 D ,从规定的端口号区间 1 至 65535 中选择一个端口号,也包括本测量源点主机没有启动 TCP 服务的熟知端口,作为探测报文的源端口,在一个测量源点,对同一目标地址 D ,源端口一旦选定,则该测量源点发出的针对同一目标地址 D 的所有探测报文的源端口保持不变。
2 .根据权利要求 1所述的一种基于 TCP 报文的IP路径主动测量方法,其特征是:所述的在给定时间内收到响应报文则根据响应报文类型实施对响应报文的处理是:
a 该响应报文是“ICMP   TTL超时”报文,并且探测还没有达到预定跳数的阈值,转权利要求 1 中的步骤 2 继续探测;
b 该响应报文是ICMP不可达类型报文,或者收到的响应报文是控制比特为 RST ,或者控制比特为 RST + ACK ,或者控制比特为 SYN + ACK 的 TCP 报文,则中止针对该目标地址的探测。
3 .根据权利要求 1 或 2所述的一种基于 TCP 报文的IP路径主动测量方法,其特征是:所述的在给定时间内没有收到响应报文则实施等待时间超时处理是:若探测还没有达到预定跳数的阈值,则转权利要求 1 中的步骤 2 继续探测,否则,中止针对该目标地址的探测。
CN2009100719004A 2009-04-28 2009-04-28 一种基于tcp报文的ip路径主动测量方法 Expired - Fee Related CN101877654B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100719004A CN101877654B (zh) 2009-04-28 2009-04-28 一种基于tcp报文的ip路径主动测量方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100719004A CN101877654B (zh) 2009-04-28 2009-04-28 一种基于tcp报文的ip路径主动测量方法

Publications (2)

Publication Number Publication Date
CN101877654A CN101877654A (zh) 2010-11-03
CN101877654B true CN101877654B (zh) 2012-04-04

Family

ID=43020124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100719004A Expired - Fee Related CN101877654B (zh) 2009-04-28 2009-04-28 一种基于tcp报文的ip路径主动测量方法

Country Status (1)

Country Link
CN (1) CN101877654B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9094315B2 (en) * 2010-11-18 2015-07-28 Telefonaktiebolaget L M Ericsson (Publ) Systems and methods for measuring available capacity and tight link capacity of IP paths from a single endpoint
CN108924000B (zh) * 2018-06-19 2021-09-07 成都网丁科技有限公司 一种基于tcp协议实现的新型网络路径探测方法
CN113645225B (zh) * 2021-08-09 2023-05-16 杭州安恒信息技术股份有限公司 一种网络安全设备探测方法、装置、设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321092A (zh) * 2008-07-07 2008-12-10 上海华为技术有限公司 一种测量互联网协议传输网服务质量的方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321092A (zh) * 2008-07-07 2008-12-10 上海华为技术有限公司 一种测量互联网协议传输网服务质量的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
姜誉等.多点测量Internet路由器级拓扑.《电信科学》.2004,(第9期), *

Also Published As

Publication number Publication date
CN101877654A (zh) 2010-11-03

Similar Documents

Publication Publication Date Title
US8125895B2 (en) Network looping detecting apparatus
US7992208B2 (en) Detection of nonconforming network traffic flow aggregates for mitigating distributed denial of service attacks
CN108551446B (zh) 防攻击的syn报文处理方法、装置、防火墙及存储介质
Mahdavi et al. IPPM metrics for measuring connectivity
Kühlewind et al. On the State of ECN and TCP Options on the Internet
CN105071987B (zh) 基于流量分析的加密网络路径质量分析方法
CN106034056B (zh) 一种业务安全分析的方法和系统
US8667585B2 (en) Transmission control protocol flooding attack prevention method and apparatus
EP3331205A1 (en) Data packet transmission method utilized in ipv6 network and device utilizing same
CN101877654B (zh) 一种基于tcp报文的ip路径主动测量方法
CN104901953B (zh) 一种arp欺骗的分布式检测方法及系统
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
KR20180052324A (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
CN104883360A (zh) 一种arp欺骗的细粒度检测方法及系统
CN101888310B (zh) 一种基于udp报文的ip路径主动测量方法
CN104348808B (zh) 会话处理的方法和装置
CN106657126A (zh) 检测及防御DDoS攻击的装置及方法
CN108965263A (zh) 网络攻击防御方法及装置
CN114301676A (zh) 一种电力监控系统的无损化资产探测方法
CN105871661A (zh) 公网服务器探测方法及探测服务器
CN102315962B (zh) 探测以太网最大传输单元的方法及维护端点
Bardas et al. Classification of UDP Traffic for DDoS Detection.
Suresh et al. Improvising the performance of wireless sensor networks by quality aware stream control transmission protocol
Mahdavi et al. RFC2498: IPPM Metrics for Measuring Connectivity

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120404

Termination date: 20150428

EXPY Termination of patent right or utility model