CN108347359B - 一种大型网络地址转换出口判断方法及装置 - Google Patents
一种大型网络地址转换出口判断方法及装置 Download PDFInfo
- Publication number
- CN108347359B CN108347359B CN201810086373.3A CN201810086373A CN108347359B CN 108347359 B CN108347359 B CN 108347359B CN 201810086373 A CN201810086373 A CN 201810086373A CN 108347359 B CN108347359 B CN 108347359B
- Authority
- CN
- China
- Prior art keywords
- occurrence
- address
- analyzed
- value
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2528—Translation at a proxy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种大型网络地址转换出口判断方法及装置,该方法包括:抓取源地址为待分析的IP地址的数据包;记录抓取的数据包的生存时间TTL值;统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。能够简单、准确的识别是否是大型NAT出口,对抓站、代理服务器等非NAT出口进行及时的排查处理,从而有效的提高网络安全性。
Description
技术领域
本发明涉及网络技术领域,尤指一种大型网络地址转换出口判断方法及装置。
背景技术
随着互联网协议第四版(Internet Protocol version 4,IPv4)日益短缺,使得网络地址转换(Network Address Translation,NAT),特别是NAT44被越来越广泛的使用,导致大量用户公用一个或少数几个出口互联网协议(Internet Protocol,IP)地址。这时,在大型网站的统计图表中,就能看到一个源IP地址产生了海量的请求。但是,这种现象也可能是代理或者抓站产生的。
目前,还没有有效的区分方式来区分是代理还是抓站产生的海量请求,还是大量用户公用出口产生的海量请求,从而导致网络安全不能得到有效保障,因此,如何区分这种海量请求成为亟待解决的技术问题。
发明内容
本发明实施例提供一种大型网络地址转换出口判断方法及装置,用以解决现有技术中无法区分海量请求产生原因,导致网络安全无法得到有效保障的问题。
一方面,本发明实施例提供了一种大型网络地址转换出口判断方法,包括:
抓取源地址为待分析的IP地址的数据包;
记录抓取的数据包的生存时间TTL值;
统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;
根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
在一些可选的实施例中,所述统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例,具体包括:
针对一段指定时间段内记录的TTL:
记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;
确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
在一些可选的实施例中,所述根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,包括:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中最大的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
在一些可选的实施例中,所述根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,具体包括:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或
若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口。
在一些可选的实施例中,上述方法,还包括:
对使用HTTP协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;
若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不匹配,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
本发明实施例还提供一种大型网络地址转换出口判断装置,包括:
抓取模块,用于抓取源地址为待分析的IP地址的数据包;
记录模块,用于记录抓取的数据包的生存时间TTL值;
统计模块,用于统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;
确定模块,用于根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
在一些可选的实施例中,所述统计模块,具体用于:
针对一段指定时间段内记录的TTL:
记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;
确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
在一些可选的实施例中,所述确定模块,具体用于:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中最大的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
在一些可选的实施例中,所述确定模块,具体用于:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或
若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口。
在一些可选的实施例中,所述确定模块,还用于:
对使用HTTP协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;
若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不匹配,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
在一些可选的实施例中,上述装置还包括:
HTTP对比模块,如果服务为HTTP类型服务,包括HTTPS、WebSocket或WebSocketover TLS包含UserAgent信息的服务,还可以通过HTTP服务器日志中的UserAgent中的操作系统信息和收集到的TTL进行附加对比。
上述技术方案具有如下有益效果:
通过对待分析的源IP地址的数据包进行住区和记录TTL值,统计TTL值的出现频率和出现频率最高的TTL值的出现比例,根据这些统计规律和预设的出现比例阈值进行比较,分析判断待分析的IP地址是否是大型NAT出口,从而对海量请求产生的原因进行分析识别,准确的识别其产生原因,进而能够简单、准确的识别是否是大型NAT出口,对抓站、代理服务器等非NAT出口进行及时的排查处理,从而有效的提高网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中大型网络地址转换出口判断方法的流程图;
图2是本发明实施例中大型网络地址转换出口判断装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中存在的不能有效的区分是代理还是抓站产生的海量请求,还是大量用户公用出口产生的海量请求,从而导致网络安全不能得到有效保障的问题,本发明实施例提供一种大型网络地址转换出口判断方法,能够准确的识别是否是大型NAT出口,对抓站、代理服务器等非NAT出口进行及时的排查处理,有效保障网络安全性。
根据IP协议的规范,数据包在传输的过程中,不能无限转发,其有一个限制,即TTL值。每通过一个跃点,即被路由转发一次,TTL会减1,如果到0,则数据包被丢弃。
现代网络中,通常世界上任意两点都不会超过30个跃点,即服务端收到的TTL值大于等于原始值-30而小于等于原始值。至于原始值,Windows类操作系统原始值为128,而Linux、Unix等大多为64。
因此,TTL值在一定程度上可以反应来源的情况。
通常,如果是大型NAT出口,绝大多数情况下会有多种TTL值。这是因为大型NAT出口内部网络结构复杂,可能存在多级网络结构,例如学生宿舍可能自行配置路由器;以及可能有产生多种初始生存时间(Time To Live,TTL)的终端,如Windows默认的初始TTL是128,而Linux是64,部分网络设备是255。同时,一般来说,内部网络结构的跳数不会相差太多,而且所有常见设备的默认TTL都是在32的倍数或者255的。因此,如果是此类情况,TTL应该是集中分布在有限的几个数字上。
如果是抓站或者代理服务器,通常情况下只有一种TTL值。代理服务器或抓站服务器自己产生一个固定的TTL值;在一定时间内,网络上传输数据包的路径通常是确定的,至少不是频繁变化的;用户端收到的上述确定的TTL值,即代理服务器或抓站服务器产生的默认TTL传输到用户端后的结果。
在国内常见的场景下,来源一致、目的一致的数据包转发的路径是一致的。其来源是待检测的大量请求的来源IP,目的即提供的服务。如果路径完全一致,且TTL原始值一致,则接收方收到的数据包的TTL也一致。
在实际情况中,路径可能是不一致的。IP协议及相关路由协议本身就允许这种不一致存在。然而,即使出现偏差,如在任何一个环节存在多条可选的路径,整体路径的可能的选项仍然不会太多。在访问量足够大的情况下,其数据包个数将接近简单整数比。如一个抓站或代理出口,其TTL原始值是64,有两条等价链路,甲到接收方服务器跃点10个,乙到接收方服务器跃点11个。则根据大数定理,在样本够大的情况下,两条链路将均匀分布,除非被蓄意配置成不同的比例。
当然现实中链路的选择可能通过五元组(即协议,双方IP,双方端口号)进行哈希选择。然而在这个场景中,协议通常只有TCP一种,双方IP已经确定,接收方提供服务的端口也是确定的,而发送方端口应该是完全随机,至少是均匀分布的。因此,在这种情况下,链路仍然将均匀分布。
在上面的例子中,接收方会捕捉到TTL=53和TTL=54大约相等的两种数据包。或者如果链路甲中断或不存在,则只有TTL=53的数据包,可以通过比例的方法判定其为代理或抓站。
如果对方是NAT出口则有不同。
两方面,其一,NAT出口后面的内部网络,可能是很复杂的,即,其中有各种不同的路径。既然是访问量大,那么正常情况下来讲后面的用户量也很大。可能是一个公司组织,或一家小型运营商。那么,不仅是其内部接入环节跃点数不确定,最终用户本身还可以自行搭建路由器等情况,导致跃点数更加不一致,则其路径上的跃点相对由外部不同链路造成的跃点是显著混乱的,概率上难以接近简单整数比。
其二,其TTL原始值也会有所不同。其中接入的设备形形色色,通常的,既有基于Windows的台式机或笔记本,也有基于Linux(指Android)或Unix(指iOS)的各类设备。其初始值可以是128或64。这不仅造成了最终接收方捕获到的数据包TTL值不同,更和其操作系统类型直接相关。所以,更进一步的,如果有方法能获知其操作系统,就可以跟TTL进行比对。而HTTP请求中的UserAgent就可以得知用户的操作系统。不仅仅是HTTP,其他任何服务,只要能收集到操作系统类型即可工作。
例如在一个大型NAT出口,其外部链路到接收方服务器11个跃点。其中用户甲,内部链路3个跃点,使用Windows;用户乙,内部链路4个跃点,使用Linux。则我方收到的数据包,一切正常的话,用户甲的数据包TTL应当是114,而乙则是49。因为来自这个IP的请求数量众多,远远不止甲乙两名用户。所以综合的来说,各种TTL值会相对混乱,远远不是简单整数比的情况。至于区分来自甲和乙的数据包,可以通过简单的区分发送方端口进行。HTTP服务器可以轻松地记录对端端口,抓到的数据包中也有发送方端口,结合时间,可以很容易地确认对应关系。
也是基于上述的情况。如果一个用户在UserAgent中宣称自己使用Windows,但是接收拿到的是49的TTL,那么可能用户在伪造UserAgent或自己修改了系统的原始TTL,而更有可能的是用户通过了一次代理。如果这种情况在一个来源IP中大量出现,基本上可以肯定这是一个代理服务器出口。
本发明的大型网络地址转换出口判断方法,针对需要分析的IP地址,对源IP地址为待分析IP地址的数据包进行抓包,记录抓取到数据包的TTL值,统计一段时间内所有数据包的TTL值的出现频率,来识别是否是大型NAT出口。下面通过具体的实施例进行详细描述。
本发明实施例提供的大型网络地址转换出口判断方法,其流程如图1所示,包括如下步骤:
步骤S101:抓取源地址为待分析的IP地址的数据包。
抓取待分析的IP地址的数据包,可以通过设置的抓包软件或抓包工具进行数据包抓取,对接收到的从待分析的IP地址中发出的所有数据包进行抓取,这些数据包的源IP地址为待分析的IP地址。
步骤S102:记录抓取的数据包的TTL值。
对抓取的数据包进行解析,获取数据包的TTL值并进行记录。
步骤S103:统计至少一段指定时间段内记录的各TTL值的出现频率。
该步骤中,针对一段时间内的数据包,统计各TTL出现的次数,枚举所有出现的TTL,统计各TTL值的出现频率。可以通过制作TTL数值和出现次数的关系图或关系表,来实现统计至少一段指定时间段内记录的各TTL值的出现频率。
步骤S104:确定各TTL值的出现比例。
将记录的各TTL值的出现比例计算出来,可以记录一共统计到多少TTL值,每个TTL值出现的次数是多少,所有的TTL值出现的总出现次数是多少,用各TTL值的出现次数除以所有TTL值的总出现次数,即可得到各TTL值的出现比例。
即上述步骤S103和步骤S104,针对一段指定时间段内记录的TTL:记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
步骤S105:根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
出现比例阈值可以预先设置,例如可以根据学习统计的结果进行设置,即对抓站或代理服务器的TTL值的出现规律和大型NAT出口的TTL值的出现规律进行统计,通过统计结果,获知各自的TTL值可能的出现规律,从而依据这些统计结果对TTL值对出现比例阈值进行设置或调整。
例如:出现比例阈值的设定过程,可以包括:对NAT出口的TTL值进行统计,确定出现的每个TTL值所占的第一比例;对非NAT出口的TTL值进行统计,确定出现的每个TTL值所占的第二比例;根据至少一段时间内统计得到的第一比例和第二比例,设定和/或调整出现比例阈值。
可选的,设置的出现比例阈值可以是介于上述统计得到的第一比例和第二比例之间的某一个值。
根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,可以有多种方式:
比如,考虑出现比例和设定的出现比例阈值的关系,这种方式包括:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
这种方式只要有某一个TTL值的出现比例大于了设定的出现比例阈值,则认为是抓站服务器或代理服务器,如果各TTL值的出现比例均不大于设定的出现比例阈值,则认为比较符合大型NAT出口的TTL值分布规律,认为是大型NAT出口。
又比如,考虑TTL的出现个数,同时考虑出现比例和设定的出现比例阈值,这种方式包括:
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
这种方式考虑到抓站服务器或代理服务器的TTL值比较单一,因此,可以考虑出现的TTL值的个数,设定个数阈值,看出现的TTL值的个数是不是比较少,小于个数阈值,同时考TTL值的出现比例,是否有某一个TTL值的出现比例大于了设定的出现比例阈值,当出现的TTL值个数小于个数阈值且有TTL值的出现比例大于设定的出现比例阈值时,认为符合抓站服务器或代理服务器的TTL值出现规律,确定是抓站服务器或代理服务器,如果TTL值出现个数不小于个数阈值,即出现的个数不太少,且各TTL值的出现比例均不大于设定的出现比例阈值,则认为比较符合大型NAT出口的TTL值分布规律,认为是大型NAT出口。
又比如,考虑TTL的出现个数,同时考虑出现比例和出现比例的出现规律,这种方式包括:
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中最大的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。可选的,也可以是当出现的TTL值的个数小于设定的个数阈值且出现比例最大的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
这种方式还考虑到抓站服务器和代理服务器不仅仅可能是单个TTL值占有比例很高,甚至达到100%的情况,还有可能是两个TTL值成简单整数比,比如1:1或者其他比例,如2:1、3:1等等,因此,获取出现的TTL值的个数为两个,假设对应的个数阈值可以设置为3,此时出现的TTL值的个数小于设定的个数阈值,且这两个TTL值确定的出现比例均大于40%或者达到50%,则满足判定条件出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值,认为待分析的IP地址不是NAT出口。当然也不排除三个、四个等多个TTL值成简单整数比的情况,如1:1:1等等。
造成简单整数比的原因,通常是由于机房有多条出口链路,并且各链路上的跳数不一致,每跳会导致ttl-1。通常很少超过4条链路的,所以有上述简单整数比。
上述以一段指定的时间段为例,也可以以多段时间段的统计结果进行综合分析,即根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,包括:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,存在确定的。
在判定是否存在确定的出现比例大于出现比例阈值的情况时,可以参照上边例举各种方式进行判定。
比如:可以统计N段指定的时间段,有任何一段时间段内,出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;或有M段时间段内存在出现比例中至少一个出现比例大于设定的出现比例阈值的情况时,确定待分析的IP地址不是NAT出口,其中M小于N,且M除以N大于一定的比例值,比如50%、60%或70%等。
又比如:可以统计N段指定的时间段,有任何一段时间段内,出现的TTL值的个数小于设定个数阈值且出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;或有M段时间段内存在出现的TTL值的个数小于设定个数阈值且出现比例中至少一个出现比例大于设定的出现比例阈值的情况时,确定待分析的IP地址不是NAT出口,其中M小于N,且M除以N大于一定的比例值。
可选的,上述方法还包括:对使用超文本传输协议(HyperText TransferProtocol,HTTP)协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不匹配,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
即对于HTTP类请求,还可以根据HTTP服务器端记录的UserAgent中的操作系统信息对TTL值进行校验,若有UserAgent和TTL不相符的情况,则为代理,否则为NAT出口。
基于同一发明构思,本发明实施例还提供一种大型网络地址转换出口判断装置,其结构如图2所示,包括:抓取模块201、记录模块202、统计模块203和确定模块204。
抓取模块201,用于抓取源地址为待分析的IP地址的数据包;
记录模块202,用于记录抓取的数据包的生存时间TTL值;
统计模块203,用于统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;
确定模块204,用于根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
可选的,上述统计模块203,具体用于:
针对一段指定时间段内记录的TTL:
记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;
确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
可选的,上述确定模块204,具体用于:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中最大的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
可选的,上述确定模块204,具体用于:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或
若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口。
可选的,上述确定模块204,还用于对使用HTTP协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不相符,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
可选的,上述装置还包括:
设置模块205,用于对NAT出口的TTL值进行统计,确定出现的每个TTL值所占的第一比例;对非NAT出口的TTL值进行统计,确定出现的每个TTL值所占的第二比例;根据至少一段时间内统计得到的第一比例和第二比例,设定和/或调整所述出现比例阈值。
本发明的实施例的上述大型网络地址转换出口判断装置,通过对待分析的IP地址的数据包进行住区和记录TTL值,统计TTL值的出现频率和出现频率最高的TTL值的出现比例,根据这些统计规律和预设的出现比例阈值进行比较,分析判断待分析的IP地址是否是大型NAT出口,从而对海量请求产生的原因进行分析识别,准确的识别其产生原因,进而能够简单、准确的识别产生大量请求的IP地址是否是大型NAT出口,对抓站、代理服务器等非NAT出口进行及时的排查处理,从而有效的区分大型NAT出口和代理服务器,提高网络安全性。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种大型网络地址转换出口判断方法,其特征在于,包括:
抓取源地址为待分析的IP地址的数据包;
记录抓取的数据包的生存时间TTL值;
统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;
根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
2.如权利要求1所述的方法,其特征在于,所述统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例,具体包括:
针对一段指定时间段内记录的TTL:
记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;
确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
3.如权利要求1所述的方法,其特征在于,所述根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,包括:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中按从大到小排序在前的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
4.如权利要求1所述的方法,其特征在于,所述根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口,具体包括:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或
若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口。
5.如权利要求1-4任一所述的方法,其特征在于,还包括:
对使用HTTP协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;
若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不匹配,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
6.一种大型网络地址转换出口判断装置,其特征在于,包括:
抓取模块,用于抓取源地址为待分析的IP地址的数据包;
记录模块,用于记录抓取的数据包的生存时间TTL值;
统计模块,用于统计至少一段指定时间段内记录的各TTL值的出现频率,确定各TTL值的出现比例;
确定模块,用于根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。
7.如权利要求6所述的装置,其特征在于,所述统计模块,具体用于:
针对一段指定时间段内记录的TTL:
记录所有出现的不同的TTL值,以及每个TTL值出现的次数,制作TTL值和对应出现次数的直方图;
确定各TTL值的出现次数,占所述一段指定时间段内各TTL值的总出现次数的比例。
8.如权利要求6所述的装置,其特征在于,所述确定模块,具体用于:
比较确定的出现比例与设定的出现比例阈值的大小,当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口;或
获取出现的TTL值的个数并与设定的个数阈值进行比较,以及比较确定的出现比例与设定的出现比例阈值的大小;当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中按从大到小排序在前的至少两个TTL值的出现比例符合设定的出现规律时,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
9.如权利要求6所述的装置,其特征在于,所述确定模块,具体用于:
当指定时间段不止一段时,若任一指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口;或
若大于一定比例的指定时间段存在确定的出现比例大于出现比例阈值的情况时,确定待分析的IP地址不是NAT出口。
10.如权利要求6-9任一所述的装置,其特征在于,所述确定模块,还用于:
对使用HTTP协议的数据包,根据HTTP服务器端记录的用户代理UserAgent中的操作系统信息对TTL值进行校验;
若根据UserAgent中的操作系统信息,确定UserAgent和TTL值不相符,确定待分析的IP地址不是NAT出口;否则,确定待分析的IP地址是NAT出口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810086373.3A CN108347359B (zh) | 2018-01-30 | 2018-01-30 | 一种大型网络地址转换出口判断方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810086373.3A CN108347359B (zh) | 2018-01-30 | 2018-01-30 | 一种大型网络地址转换出口判断方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108347359A CN108347359A (zh) | 2018-07-31 |
| CN108347359B true CN108347359B (zh) | 2020-08-07 |
Family
ID=62961717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810086373.3A Active CN108347359B (zh) | 2018-01-30 | 2018-01-30 | 一种大型网络地址转换出口判断方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108347359B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572325A (zh) * | 2019-09-06 | 2019-12-13 | 成都深思科技有限公司 | 一种nat路由器流量识别方法 |
| CN112637374B (zh) * | 2020-12-15 | 2022-07-01 | 杭州迪普科技股份有限公司 | 转换地址处理方法、装置、设备及计算机可读存储介质 |
| CN114172861B (zh) * | 2021-12-07 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种网络地址转换设备的识别方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515924B (zh) * | 2008-12-26 | 2012-11-21 | 成都市华为赛门铁克科技有限公司 | 一种p2p流识别的方法及装置 |
| US8917616B2 (en) * | 2009-10-28 | 2014-12-23 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for detection of a NAT device |
| CN106302423B (zh) * | 2012-06-20 | 2019-07-23 | 华为技术有限公司 | 一种识别网络共享行为的方法、节点、移动终端及系统 |
| CN103139015B (zh) * | 2013-02-08 | 2016-08-03 | 华为技术有限公司 | 网络共享检测方法、装置及设备 |
| KR101432266B1 (ko) * | 2013-11-08 | 2014-08-21 | 주식회사 파이오링크 | Nat 장치를 탐지하기 위한 방법, 장치 및 컴퓨터 판독 가능한 기록 매체 |
-
2018
- 2018-01-30 CN CN201810086373.3A patent/CN108347359B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| Identification of hosts behind a NAT device utilizing multiple fields of IP and TCP;Hanbyeol Park等;《IEEE》;20161021;全文 * |
| NAT检测技术分析及应用;李果果等;《煤炭技术》;20110719;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108347359A (zh) | 2018-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181932B (zh) | Ddos攻击检测与防御方法、装置、终端设备及存储介质 | |
| US11641343B2 (en) | Methods and systems for API proxy based adaptive security | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| CN110324210B (zh) | 基于icmp协议进行隐蔽信道通信的检测方法及装置 | |
| Strayer et al. | Botnet detection based on network behavior | |
| CN110519290B (zh) | 异常流量检测方法、装置及电子设备 | |
| US20190034631A1 (en) | System and method for malware detection | |
| US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20110019574A1 (en) | Technique for classifying network traffic and for validating a mechanism for classifying network traffic | |
| WO2016106592A1 (zh) | 一种特征信息分析方法及装置 | |
| CN108347359B (zh) | 一种大型网络地址转换出口判断方法及装置 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| Aizuddin et al. | DNS amplification attack detection and mitigation via sFlow with security-centric SDN | |
| JP2006148686A (ja) | 通信監視システム | |
| KR20140035678A (ko) | 학습 가능한 dns 분석기 및 분석 방법 | |
| CN108322354B (zh) | 一种偷跑流量账户识别方法及装置 | |
| CN112104523B (zh) | 流量透传的检测方法、装置、设备及存储介质 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| CN112910839A (zh) | 一种dns攻击的防御方法和装置 | |
| CN113055333A (zh) | 可自适应动态调整密度网格的网络流量聚类方法和装置 | |
| CN113765849A (zh) | 一种异常网络流量检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210507 Address after: Room 517, 5 / F, scientific research building, Sina headquarters, plot n-1 and n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing 100193 Patentee after: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: SINA.COM TECHNOLOGY (CHINA) Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 517, 5 / F, building 8, West District, yard 10, Xibeiwang East Road, Haidian District, Beijing 100085 Patentee after: Sina Finance mobile network technology (Beijing) Co.,Ltd. Address before: Room 517, 5 / F, scientific research building, Sina headquarters, plot n-1 and n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing 100193 Patentee before: XINGCHAO SHANYAO MOBILE NETWORK TECHNOLOGY (CHINA) CO.,LTD. |