CN102006290A - Ip源地址追溯的方法 - Google Patents

Ip源地址追溯的方法 Download PDF

Info

Publication number
CN102006290A
CN102006290A CN2010105436926A CN201010543692A CN102006290A CN 102006290 A CN102006290 A CN 102006290A CN 2010105436926 A CN2010105436926 A CN 2010105436926A CN 201010543692 A CN201010543692 A CN 201010543692A CN 102006290 A CN102006290 A CN 102006290A
Authority
CN
China
Prior art keywords
attack
source address
internet
address
icmp packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105436926A
Other languages
English (en)
Other versions
CN102006290B (zh
Inventor
毕军
姚广
周子建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN2010105436926A priority Critical patent/CN102006290B/zh
Publication of CN102006290A publication Critical patent/CN102006290A/zh
Application granted granted Critical
Publication of CN102006290B publication Critical patent/CN102006290B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的实施例提出了一种IP源地址追溯的方法,包括以下步骤:获取网络望远镜捕获的攻击数据;对所述攻击数据进行分析,获取攻击中所包含的ICMP报文信息;根据所述ICMP报文信息提取路由器的IP地址,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径。本发明提出的上述方案,通过对网络望远镜捕获的攻击数据进行分析,获取攻击源的信息,解决了目前IPv6或IPv4协议下IP源地址追溯的问题。上述方法基于IP源地址追溯可以找到攻击的源头,从而从源头上遏制、杜绝攻击,是一种查找攻击报文来源的一种有效方法。

Description

IP源地址追溯的方法
技术领域
本发明涉及互联网技术领域,具体而言,本发明涉及IP源地址追溯的方法。
背景技术
随着互联网使用环境的变化,互联网技术的缺陷正逐渐暴露出来,其中不保证源地址的真实性便是一个重要问题。互联网之初主要用于学术目的,当时假设网络中的所有设备都是可信任的,因此报文在转发过程中没有认证源地址的真实性。而在当前复杂的互联网环境下,这种网络设备普遍可信的情况早已不复存在,与之相反,每一台设备都可能伪造其源地址来达成特殊目的。当今,通过伪造源地址来辅助发起网络攻击的行为十分频繁。
互联网上的采用伪造IP源地址的攻击相当泛滥,据互联网观测组织的统计,每周至少有4000起采用伪造源地址的拒绝服务攻击。这类攻击具有容易发起但是难以追溯的特点,这是造成伪造源地址攻击泛滥的原因。
目前已经有很多技术被提出来希望能控制这类攻击。它们可以分为三类:
路径过滤类(Filtering):这一类技术主要是使用路由信息来过滤掉一部分伪造源地址的报文。典型的例子如入口过滤(Ingress filtering),就是通过检查网关上接收到的报文其源地址是否在接入子网的地址空间范围内,从而判断报文是否合法。
端到端认证类(End-to-End Approach):这一类技术在源端给报文加入标记,这一标记在报文的目的端被检查用来判断报文中所含源地址的真实性。
回溯类(Traceback):回溯类技术是一种被动的技术。它希望获取报文在互联网上所经过的路径,在攻击发生时,通过分析报文路径来获取攻击源的地址。
尽管出现了很多解决方法,但目前并没有一种方法可以完美地解决源地址伪造问题。不支持增量部署及缺乏对运营商的激励也是这一难题形成的重要原因。
IP源地址追溯是查找攻击报文来源的一种有效方法。基于IP源地址追溯可以找到攻击的源头,从而从源头上遏制、杜绝攻击。
因此,有必要提出一种有效的技术方案,以解决目前IPv6或IPv4协议下IP源地址追溯的问题。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别通过对网络望远镜捕获的攻击数据进行分析,获取攻击源的信息,以解决目前IPv6或IPv4协议下IP源地址追溯的问题。
为了达到上述目的,本发明的实施例提出了一种IP源地址追溯的方法,包括以下步骤:
获取网络望远镜捕获的攻击数据;
对所述攻击数据进行分析,获取攻击中所包含的ICMP(Internet Control Message Protocol,Internet控制报文协议)报文信息;
根据所述ICMP报文信息提取路由器的IP地址,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径。
本发明提出的上述方案,通过对网络望远镜捕获的攻击数据进行分析,获取攻击源的信息,解决了目前IPv6或IPv4协议下IP源地址追溯的问题。上述方法基于IP源地址追溯可以找到攻击的源头,从而从源头上遏制、杜绝攻击,是一种查找攻击报文来源的一种有效方法。上述方案可以支持IPv4和IPv6协议,能达到互联网自治系统级别的追溯粒度,不修改主机和协议栈,不增加新的协议。相比于其它IP追溯方案,它具有无需部署、无需ISP协作等优势。此外,本发明提出的上述方案,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例IP源地址追溯的方法的流程图;
图2为网络望远镜工作原理示意图;
图3为本发明实施例IP源地址追溯的示意图;
图4为本发明实施例IP源地址追溯方法的应用示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
为了实现本发明之目的,本发明提出了一种IP源地址追溯的方法,包括以下步骤:获取网络望远镜捕获的攻击数据;对所述攻击数据进行分析,获取攻击中所包含的ICMP报文信息;根据所述ICMP报文信息提取路由器的IP地址,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径。
如图1所示,为本发明实施例IP源地址追溯的方法的流程图,包括以下步骤:
S110:获取网络望远镜捕获的攻击数据。
在步骤S110中,首先要通过网络望远镜捕获的攻击数据。
如图2所示,为网络望远镜工作原理示意图。附图上出现的AS即互联网自治系统。网络望远镜是IP地址空间上并没有连接任何的主机。操作人员并不必使用工具来伪造一个网络,只需观察到达这个网络段的数据通信。因为在这个网段上并没有真实的主机,对地址空间的扫描很容易被发现。网络望远镜还可以显示欺骗性的“退信”的证据,因为它的一些地址是被互联网上其它地方的机器伪造的,因为这个望远镜可接收RST或SYN+ACK数据包(TCP协议),或应答或ICMP不可到达的消息(UDP协议)。
S120:对攻击数据进行分析,获取攻击中所包含的ICMP报文信息。
在步骤S120中,进一步而言,对所述攻击数据进行分析包括以下步骤:
获取网络望远镜捕获的攻击数据,所述攻击数据为LZO压缩文件格式;
解压缩LZO压缩文件,得到PCAP格式二进制数据文件,然后解析PCAP文件,得到包含IP报文头部的文本文件。
其中,获取攻击中所包含的ICMP报文信息包括以下步骤:
从所述文本文件中提取所有针对特定受害者IP地址的报文,并按照时间戳对所述报文按照升序排列;
根据设定的时间间隔,若两个报文之间的时间间隔在所设定的间隔之内,则它们属于同一次攻击,依次划分出所有的攻击;
从划分出的攻击中选择某一次攻击,并提取出此次攻击中所包含的ICMP报文信息。
S130:根据ICMP报文信息提取路由器的IP地址,结合互联网自治系统关系数据构建互联网自治系统之间的路径。
在步骤S130中,进一步而言,根据所述ICMP报文信息提取路由器的IP地址包括以下步骤:
从所述ICMP报文信息中剔除ICMP类型为UNREACH_PORT的报文以及剔除所述ICMP报文信息中源地址与原始IP报文目的地址相同的ICMP报文;
对其余的ICMP报文,从中提取路由器的IP地址。
其中,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径包括以下步骤:
将所述IP地址映射到所属的互联网自治系统,同时将受害者IP地址映射到所属互联网自治系统;
根据所述互联网自治系统的关系数据,构建所述互联网自治系统之间的路径。
此外,进一步包括:根据构建的所述互联网自治系统之间的路径,绘制IP源地址追溯图。
为了便于理解本发明,如图3所示,为本发明实施例IP源地址追溯的示意图,主要分为三个部分:ICMP报文收集、划分攻击、构建追溯图。具体的实施方式,按照如下的步骤处理:
步骤1:从CAIDA获取网络望远镜捕获的攻击数据,这些数据是LZO压缩文件格式。
步骤2:解压缩LZO压缩文件,得到PCAP格式二进制数据文件,然后解析PCAP文件,得到包含IP报文头部的文本文件。
步骤3:从上步得到的文本文件中提取所有针对某一受害者IP地址的报文,并按照时间戳对这些报文按照升序排列。
步骤4:从上步排序后的报文中,根据设定的时间间隔,若两个报文之间的时间间隔在所设定的间隔之内,则它们属于同一次攻击,依次划分出所有的攻击。
步骤5:从上步划分出的攻击中选择某一次攻击,并提取出此次攻击中所包含的ICMP报文。
步骤6:从上述ICMP报文中剔除ICMP类型为UNREACH_PORT的报文,UNREACH_PORT类型的报文是由主机产生的,对于追溯没有价值;剔除ICMP报文中源地址与原始IP报文目的地址相同的ICMP报文,这些ICMP报文不是由路由器产生的。对于余下的ICMP报文,从中提取路由器的IP地址,并将其映射到所属的互联网自治系统,同时将受害者IP地址映射到其所属互联网自治系统。
步骤7:结合互联网自治系统关系数据,构建上述互联网自治系统之间的路径,并绘制追溯图。
为了便于理解本发明,如图4所示,为本发明实施例IP源地址追溯方法的应用示意图。例如在具体的系统中,根据分工的不同分为数据收集子系统和路径构建子系统,通过如4所示的步骤,实现本发明的上述实施例。
本发明提出的上述方案,通过对网络望远镜捕获的攻击数据进行分析,获取攻击源的信息,解决了目前IPv6或IPv4协议下IP源地址追溯的问题。上述方法基于IP源地址追溯可以找到攻击的源头,从而从源头上遏制、杜绝攻击,是一种查找攻击报文来源的一种有效方法。上述方案可以支持IPv4和IPv6协议,能达到互联网自治系统级别的追溯粒度,不修改主机和协议栈,不增加新的协议。相比于其它IP追溯方案,它具有无需部署、无需ISP协作等优势。此外,本发明提出的上述方案,对现有系统的改动很小,不会影响系统的兼容性,而且实现简单、高效。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。

Claims (6)

1.一种IP源地址追溯的方法,其特征在于,包括以下步骤:
获取网络望远镜捕获的攻击数据;
对所述攻击数据进行分析,获取攻击中所包含的ICMP报文信息;
根据所述ICMP报文信息提取路由器的IP地址,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径。
2.如权利要求1所述的IP源地址追溯的方法,其特征在于,对所述攻击数据进行分析包括以下步骤:
获取网络望远镜捕获的攻击数据,所述攻击数据为LZO压缩文件格式;
解压缩LZO压缩文件,得到PCAP格式二进制数据文件,然后解析PCAP文件,得到包含IP报文头部的文本文件。
3.如权利要求2所述的IP源地址追溯的方法,其特征在于,获取攻击中所包含的ICMP报文信息包括以下步骤:
从所述文本文件中提取所有针对特定受害者IP地址的报文,并按照时间戳对所述报文按照升序排列;
根据设定的时间间隔,若两个报文之间的时间间隔在所设定的间隔之内,则它们属于同一次攻击,依次划分出所有的攻击;
从划分出的攻击中选择某一次攻击,并提取出此次攻击中所包含的ICMP报文信息。
4.如权利要求3所述的IP源地址追溯的方法,其特征在于,根据所述ICMP报文信息提取路由器的IP地址包括以下步骤:
从所述ICMP报文信息中剔除ICMP类型为UNREACH_PORT的报文以及剔除所述ICMP报文信息中源地址与原始IP报文目的地址相同的ICMP报文;
对其余的ICMP报文,从中提取路由器的IP地址。
5.如权利要求4所述的IP源地址追溯的方法,其特征在于,结合互联网自治系统关系数据构建所述互联网自治系统之间的路径包括以下步骤:
将所述IP地址映射到所属的互联网自治系统,同时将受害者IP地址映射到所属互联网自治系统;
根据所述互联网自治系统的关系数据,构建所述互联网自治系统之间的路径。
6.如权利要求5所述的IP源地址追溯的方法,其特征在于,进一步包括:
根据构建的所述互联网自治系统之间的路径,绘制IP源地址追溯图。
CN2010105436926A 2010-08-12 2010-11-11 Ip源地址追溯的方法 Active CN102006290B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010105436926A CN102006290B (zh) 2010-08-12 2010-11-11 Ip源地址追溯的方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010252635 2010-08-12
CN201010252635.2 2010-08-12
CN2010105436926A CN102006290B (zh) 2010-08-12 2010-11-11 Ip源地址追溯的方法

Publications (2)

Publication Number Publication Date
CN102006290A true CN102006290A (zh) 2011-04-06
CN102006290B CN102006290B (zh) 2013-08-07

Family

ID=43813361

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105436926A Active CN102006290B (zh) 2010-08-12 2010-11-11 Ip源地址追溯的方法

Country Status (1)

Country Link
CN (1) CN102006290B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685133A (zh) * 2012-05-14 2012-09-19 中国科学院计算机网络信息中心 主机标识追溯方法及系统、终端、中心服务器
CN105160245A (zh) * 2014-06-11 2015-12-16 腾讯科技(深圳)有限公司 操作事件的检查方法和装置
CN105491002A (zh) * 2015-06-19 2016-04-13 哈尔滨安天科技股份有限公司 一种高级威胁追溯的方法及系统
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质
CN114844658A (zh) * 2021-01-15 2022-08-02 中国移动通信有限公司研究院 一种确定归属地源地址方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
CN101262351A (zh) * 2008-05-13 2008-09-10 华中科技大学 一种网络追踪系统
US20080263666A1 (en) * 2007-04-23 2008-10-23 Susann Marie Keohane Method and apparatus for detecting port scans with fake source address
CN101518017A (zh) * 2006-03-01 2009-08-26 新泽西理工学院 用于因特网协议(ip)追踪的基于自治系统的边缘标记(asem)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101518017A (zh) * 2006-03-01 2009-08-26 新泽西理工学院 用于因特网协议(ip)追踪的基于自治系统的边缘标记(asem)
CN101026510A (zh) * 2007-01-31 2007-08-29 华为技术有限公司 一种网络流量异常检测方法和系统
US20080263666A1 (en) * 2007-04-23 2008-10-23 Susann Marie Keohane Method and apparatus for detecting port scans with fake source address
CN101262351A (zh) * 2008-05-13 2008-09-10 华中科技大学 一种网络追踪系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685133A (zh) * 2012-05-14 2012-09-19 中国科学院计算机网络信息中心 主机标识追溯方法及系统、终端、中心服务器
CN102685133B (zh) * 2012-05-14 2014-11-19 中国科学院计算机网络信息中心 主机标识追溯方法及系统、终端、中心服务器
CN105160245A (zh) * 2014-06-11 2015-12-16 腾讯科技(深圳)有限公司 操作事件的检查方法和装置
CN105160245B (zh) * 2014-06-11 2019-01-08 腾讯科技(深圳)有限公司 操作事件的检查方法和装置
CN105491002A (zh) * 2015-06-19 2016-04-13 哈尔滨安天科技股份有限公司 一种高级威胁追溯的方法及系统
CN108566377A (zh) * 2018-03-14 2018-09-21 中电和瑞科技有限公司 一种攻击事件取证方法、装置及存储介质
CN114844658A (zh) * 2021-01-15 2022-08-02 中国移动通信有限公司研究院 一种确定归属地源地址方法、装置及存储介质

Also Published As

Publication number Publication date
CN102006290B (zh) 2013-08-07

Similar Documents

Publication Publication Date Title
CN106034056B (zh) 一种业务安全分析的方法和系统
US8627477B2 (en) Method, apparatus, and system for detecting a zombie host
CN101917434B (zh) 域内ip源地址验证的方法
CN102006290B (zh) Ip源地址追溯的方法
CN1937589B (zh) 路由配置验证的装置和方法
CN110011973B (zh) 工业控制网络访问规则构建方法及训练系统
CN107566320B (zh) 一种网络劫持检测方法、装置与网络系统
CN111709009A (zh) 联网工业控制系统的探测方法、装置、计算机设备和介质
CN101931628B (zh) 一种域内源地址的验证方法和装置
EP3499837A1 (en) Ot system monitoring method, apparatus, system, and storage medium
CN112422567B (zh) 一种面向大流量的网络入侵检测方法
US11252184B2 (en) Anti-attack data transmission method and device
CN101534248A (zh) 深度报文识别方法和系统及业务板
CN101605070B (zh) 基于控制报文监听的源地址验证方法及装置
US8938804B2 (en) System and method for creating BGP route-based network traffic profiles to detect spoofed traffic
CN106254252B (zh) 一种Flow spec路由的下发方法和装置
CN110324199B (zh) 一种通用的协议解析框架的实现方法及装置
CN107210969B (zh) 一种基于软件定义网络的数据处理方法及相关设备
CN101494663B (zh) 基于对等网络的主动识别方法及设备
CN109309679B (zh) 一种基于tcp流状态的网络扫描检测方法及检测系统
CN110351159B (zh) 一种跨内网的网络性能测试方法及装置
CN112640392B (zh) 一种木马检测方法、装置和设备
CN102724068A (zh) 一种在IPv6混合网络中进行审计日志资产识别的方法
CN102625332A (zh) 一种网络路由检测的方法
CN110620682B (zh) 资源信息的获取方法及装置、存储介质、终端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant