CN108512816B - 一种流量劫持的检测方法及装置 - Google Patents

一种流量劫持的检测方法及装置 Download PDF

Info

Publication number
CN108512816B
CN108512816B CN201710112616.1A CN201710112616A CN108512816B CN 108512816 B CN108512816 B CN 108512816B CN 201710112616 A CN201710112616 A CN 201710112616A CN 108512816 B CN108512816 B CN 108512816B
Authority
CN
China
Prior art keywords
address
data packet
ttl
network
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710112616.1A
Other languages
English (en)
Other versions
CN108512816A (zh
Inventor
孙剑骏
李永强
范春湘
徐木生
李维
袁晓明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangdong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201710112616.1A priority Critical patent/CN108512816B/zh
Publication of CN108512816A publication Critical patent/CN108512816A/zh
Application granted granted Critical
Publication of CN108512816B publication Critical patent/CN108512816B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种流量劫持的检测方法及装置,涉及数据处理技术领域。其中,所述方法包括:在网络的接口中获取预设时间段内用于分析流量劫持的请求数据包和响应数据包;对响应数据包进行处理,得到网络中多个IP地址分别对应的TTL返回值的标准偏差;若IP地址对应的TTL返回值的标准偏差大于或等于预设的网络中TLL返回值的抖动门阀值时,则确定IP地址为疑似存在流量劫持的第一IP地址;根据第一IP地址确定请求数据包中目的IP地址为第一IP地址的第一请求数据包对应的响应数据包的数量;当判断第一请求数据包对应的响应数据包的数量大于或等于预设数量时,则确定第一请求数据包对应的第一IP地址为存在流量劫持的IP地址。

Description

一种流量劫持的检测方法及装置
技术领域
本发明涉及数据处理技术领域,具体地,涉及一种流量劫持的检测方法及装置。
背景技术
随着宽带的快速发展,上网用户量和流量在激增的同时,用户的点击量和流量的导向存在着重要的价值。为此网络便存在大量的流量异常现象,例如,DNS(domain nameservice,域名服务)劫持、HTTP(Hyper Text Transport Protocol,超文本传输协议)链路劫持等等,恶意修改用户访问网站的返回内容,导致用户的使用感知质量下降,容易引起批量投诉,并对运营商网络造成安全隐患。为了净化网络环境,提高用户感知,稳定用户群,同时也响应电信局关于整治优化网络环境的315专题活动,故有必要研究异常流量的检测和定位方案,协助找出网络中流量异常的域名的IP地址及流量异常源。
在介绍现有技术方案之前,简要地描述一下HTTP链路劫持的基本原理。在HTTP协议的交互过程中,终端的客户端没有办法识别返回的应答是否是服务器返回的,还是第三方返回的,因此,第三方可在链路层架设旁听设备进行链路监控。当监测到终端的请求报文符合劫持策略时,第三方就会向所述终端返回伪造的响应数据包,伪造的响应数据包会在正常的响应数据包到达客户端之前到达客户端,客户端简单地信任了第三方的应答,丢弃了真正的应答,便形成了链路劫持。图1是HTTP链路劫持的示意图。如图1所示,可看出劫持源距离客户端的物理位置肯定比服务器距离客户端的物理位置更近一些,否则返回的伪造的响应数据包便会晚于正常的响应数据包到达客户端,HTTP链路劫持将会失败。
目前,针对流量劫持的检测,现有技术主要通过以下两种方案进行检测。方案一是通过探针拨测的方式进行流量劫持的检测。具体地,首先在某一跳路由器下发送伪造包,检测劫持现象。如果存在劫持现象,则使用路由跟踪工具确定相应IP地址所采取的路由路径,在下一跳路由器或者中间一跳路由器采用二分法再进行发送伪造包,继续进行测试,直到定位出劫持者的路由位置。方案二是在更改路由路径,并发送伪造包发现劫持现象之后,通过依次更改其中某一跳路由路径的方法来确定劫持者的路由位置。
然而,方案一的效率过低,需要预先设定疑似范围后进行拨测,预警能力弱,并且在测试时,第一次劫持现象难以找到,需要多次更换劫持点或者测试的目的IP地址,这样就会导致效率低下。再者,在第一次劫持现象找到之后,需要使用路由跟踪工具确定路由路径,在每跳路由下进行测试也存在很大的难度,即使采用二分法可以减少测试次数,也不容易办到,需耗费较大的人力物力。该方案不适合在全网普查。方案二的缺点是首次伪造包的劫持现象难以发现,并且更改每一跳路由的路由表需要其他部门的深度支持,如果路由器在省外或者在网外,则协调更加困难。再者,更改路由表存在一定的风险,对网络会造成一定的影响。该方案不推荐使用。
发明内容
本发明的目的是提供一种流量劫持的检测方法及装置。其中,所述方法所要解决的技术问题是:如何在不影响网络的情况下,提高检测流量劫持的效率和准确性。
为了实现上述目的,本发明提供一种流量劫持的检测方法。所述方法包括:
在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;
对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;
将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;
当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;
根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;
当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
可选地,所述方法还包括:
当判断所述第一请求数据包所对应的第一响应数据包的数量小于预设数量时,判断所述终端与所述网络的会话中的响应数据包的源IP地址是否为所述第一请求数据包对应的第一IP地址;
若是,判断所述会话中第一个响应数据包的ID值与所述会话中第二个响应数据包的ID值的差值是否大于第一预设值;
若是,判断所述会话中第m-1个响应数据包的ID值与所述会话中第m个响应数据包的ID值的差值是否小于或等于第二预设值;
若是,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,
其中,m表示正整数,且3≤m≤n,n表示所述会话中包括的响应数据包的个数。
可选地,所述方法还包括:
根据所述第二IP地址在所述请求数据包中查找到目的IP地址为所述第二IP地址的第二请求数据包;
根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值;
将所述第二IP地址对应的RTT值与预设的RTT值进行比较,得到比较结果;
当根据所述比较结果判断所述第二IP地址对应的RTT值小于预设的RTT值时,则确定所述第二IP地址的劫持源所在的区域为省网内。
可选地,所述方法还包括:
使用trancert命令确定在所述网络中所述第二请求数据包访问所述第二IP地址所采取的路径;
使用协议包构造工具Scapy以TTL值递增的方式伪造请求数据包,并将伪造的请求数据包依次发送至所述网络中,所述伪造的请求数据包的目的IP地址为所述第二IP地址;
当接收到所述网络根据所述伪造的请求数据包返回的响应数据包时,根据所述路径和使得所述网络返回所述响应数据包的伪造的请求数据包的TTL值确定所述第二IP地址的劫持源旁听的路由位置。
可选地,所述对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差,包括:
根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;
根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
可选地,所述根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差,包括:
剔除IP地址对应的TTL返回值大于或等于第三预设值的数据和所述TTL返回值对应的出现次数小于或等于第四预设值的数据;
根据以下公式计算得到所述IP地址对应的TTL返回值的标准偏差:
Figure BDA0001234881500000051
其中,S表示所述IP地址对应的TTL返回值的标准偏差,N表示剔除后所述IP地址对应的TTL返回值的个数,Xi表示剔除后所述IP地址对应的第i个TTL返回值,E(X)表示剔除后所述网络中TTL返回值的均值,i表示常数。
可选地,所述根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量,包括:
根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;
剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;
统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。
相应地,本发明还提供一种流量劫持的检测装置。所述装置包括:
获取单元,用于在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;
处理单元,用于对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;
比较单元,用于将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;
第一确定单元,用于当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;
第二确定单元,用于根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;
第三确定单元,用于当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
可选地,所述处理单元,具体用于:
根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;
根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
可选地,所述第二确定单元,具体用于:
根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;
剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;
统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。
由上述技术方案可知,在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;并对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;再将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;再根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测,能够在不影响网络的情况下,提高检测流量劫持的效率和准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是HTTP链路劫持的示意图;
图2是本发明一实施例提供的流量劫持的检测方法的流程图;
图3是本发明一实施例提供的广东的CMNET的网络结构的层级图;
图4是本发明一实施例提供的统计TTL返回值及其对应的出现次数的示意图;
图5是本发明一实施例提供的TTL返回值的检测算法的流程图;
图6是本发明又一实施例提供的流量劫持的检测方法的流程图;
图7是本发明又一实施例提供的流量劫持的检测方法的流程图;
图8是本发明一实施例提供的广东的CMNET的网络的层次图;
图9是本发明一实施例提供的定位流量劫持的劫持源的示意图;
图10是本发明一实施例提供的流量劫持的检测装置的结构示意图;
图11是本发明又一实施例提供的流量劫持的检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下对本发明实施例中提及的部分词语进行举例说明。
本发明实施例中提及的终端是所使用的移动终端或个人计算机(PersonalComputer,简称PC)等设备。例如智能手机、个人数码助理(PDA)、平板电脑、笔记本电脑、车载电脑(carputer)、掌上游戏机、智能眼镜、智能手表、可穿戴设备、虚拟显示设备或显示增强设备(如Google Glass、Oculus Rift、Hololens、Gear VR)等。
图2是本发明一实施例提供的流量劫持的检测方法的流程图。如图2所示,本发明一实施例提供的流量劫持的检测方法包括:
在步骤S101中,在网络的接口中获取预设时间段内用于分析流量劫持的信令数据。
具体地,所述网络可为广东的CMNET(China Mobile Net,中国移动互联网),所述网络的接口可为广东省的城域网的BRAS(Broadband Remote Access Server,宽带远程接入服务器)的接口或者广东省的城域网的SR(Service Router,全业务路由器)的接口。图3是本发明一实施例提供的广东的CMNET的网络结构的层级图。如图3所示,CMNET省网采用核心层和接入层两个层次,CMNET城域网分为核心层和业务接入控制层两个层次。业务发展初期,CMNET省网的接入层兼做本地市CMNET城域网的核心层,CMNET省网与CMNET城域网共自治域。信令数据采集点可为城域网的BRAS/SR的接口,采集的信令数据能用于BRAS/SR往上的网元设备的异常下行流量的检测,包括CMNET城域网的核心路由节点的相关路由设备、省网CMNET的接入路由节点和核心路由节点的相关路由设备以及CMNET骨干网的相关路由设备。其中,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包。
接着,在步骤S102中,对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差。
具体地,该步骤包括:根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
其中,TTL(Time To Live,生存时间)是数据包的IPv4包头的一个8bit字段。该字段表示IP数据包在计算机网络中可以转发的最大跳数。TTL字段由IP数据包的发送者设置,在IP数据包从源IP地址到目的IP地址的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL字段的值,具体的做法是把该TTL的值减1,然后再将IP数据包转发出去。如果在IP数据包到达目的IP地址之前,TTL字段的值减少为0,路由器将会丢弃收到的TTL字段的值为0的IP数据包并向IP数据包的发送者发送ICMP(Internet Control MessagesProtocol,网间控制报文协议)超时消息。
由上述可知,数据包的TTL字段的值每经过一跳路由,TTL值减1,直到为0,则向源发送者返回ICMP超时消息包。用户设备收到返回的数据包中的TTL值与服务器初始设置的TTL值和数据包在网络中传输的路由跳数有关,由于服务器初始设置的TTL值为固定值(256,128或64),且路由跳数抖动不大,因此,用户设备最终收到的数据包的TTL值也是稳定值。但是,流量正常(不存在流量劫持)的IP地址返回的数据包的TTL返回值的分布规律与流量异常(存在流量劫持)的IP地址返回的数据包的TTL返回值的分布规律是不相同的。例如,在浙江省宁波市移动的IP地址112.17.2.211不存在流量劫持的情况下,该IP地址返回到广东省城域网的数据包的TTL返回值及其相应的出现次数如表1所示。
表1
112.17.2.211 浙江省宁波市移动
TTL 尝试数
54 3235
55 2596
例如,在上海市联通的IP地址140.207.228.61存在流量劫持的情况下,该IP地址返回到广东省城域网的数据包的TTL返回值及其相应的出现次数如表2所示。
表2
140.207.228.61 上海市联通
TTL 访问量
37 1293
38 1834
39 236
40 249
41 1774
42 1896
43 287
48 2184
对比可知,存在流量劫持的IP地址返回的数据包的TTL返回值的离散程度相对于不存在流量劫持的IP地址返回的数据包的TTL返回值的离散程度更大。图4是本发明一实施例提供的统计TTL返回值及其对应的出现次数的示意图。如图4所示,中间线表示IP地址对应的TTL返回值的均值,由于正常情况下(不存在流量劫持),同一个IP地址对应的TTL返回值处于稳定值,也就是处于均值附近,而图中两侧虚线之外还存在着TTL返回值及其相应的出现次数,可判断该IP地址存在流量劫持的可能性很大。
更为具体地,所述根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差,包括:
剔除IP地址对应的TTL返回值大于或等于第三预设值的数据和所述TTL返回值对应的出现次数小于或等于第四预设值的数据;
根据以下公式计算得到所述IP地址对应的TTL返回值的标准偏差:
Figure BDA0001234881500000111
其中,S表示所述IP地址对应的TTL返回值的标准偏差,N表示剔除后所述IP地址对应的TTL返回值的个数,Xi表示剔除后所述IP地址对应的第i个TTL返回值,E(X)表示剔除后所述网络中TTL返回值的均值,i表示常数。
紧接着,在步骤S103中,将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果。
其中,所述网络中TLL返回值的抖动门阀值是根据所述网络中IP地址对应的TTL返回值的标准偏差的均值设置得到的。
然后,在步骤S104中,当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址。
图5是本发明一实施例提供的TTL返回值的检测算法的流程图。如图5所示,基于上述TTL返回值的分布规律,可对全网IP维度的TTL返回值的离散程度进行统计,与全网TTL标准偏差的均值进行对比,初步输出异常的IP地址的列表。具体地,首先获取全网中响应数据包的TTL返回值及其相应的出现次数。具体地,在每一条HTTP会话记录的第一个响应数据包的TTL字段中新增一个TTL值,以域名的IP地址为分析对象,抽取某期望时间段的全网的IP地址的TTL分布情况,包括TTL返回值及其相应的次数。然后,进行数据清洗。具体地,由于均值和标准偏差容易受极值的影响,而网络中也常出现TLL返回值为255的记录,通常这些记录是正常记录,可予以剔除。同时,也将TTL返回值对应的出现次数较小的记录剔除,经过多次统计分析,出现次数的门阀值为150次较为恰当。再然后,进行标准偏差对比。具体地,通过统计学的方法,将TTL返回值理解为随机变量,TTL返回值对应的出现次数理解为随机变量出现的频率,由于全网的信令数据量巨大,可以理解为无限大,随机抽取某一时段的样本为大样本,那么TLL返回值的均值抽样分布服从正态分布,而样本的标准偏差接近全网TTL返回值的标准偏差。在实际的应用中,通过上述方法统计出全网IP地址对应的TTL返回值的标准偏差的均值,为2.4659,取95%的置信水平,则可根据统计得到的均值将全网IP地址的TTL返回值的抖动门阀值设置为5,即TTL返回值的抖动在5以内属正常行为。同理,将需要检测的IP地址,通过上述标准偏差计算公式计算得到该IP地址的TTL返回值的标准偏差,与全网TTL抖动的门阀值进行对比,如果目标IP地址的TTL返回值的标准差大于全网TLL的抖动门阀值,则初步判断目标IP地址为疑似异常IP地址。最后,输出疑似异常IP地址(疑似存在流量劫持的IP地址)的列表。
再然后,在步骤S105中,根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量。
具体地,该步骤包括:根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。其中,第一请求数据包的源IP地址为第一请求数据包对应的第一响应数据包的目的IP地址,第一请求数据包的目的IP地址为第一请求数据包对应的第一响应数据包的源IP地址。藉此,可将第一请求数据包与第一响应数据包对应上。
最后,在步骤S106中,当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
在具体的应用中,HTTP请求数据包对应一个或0个HTTP响应数据包,一个HTTP的GET请求数据包如果对应有两个或者两个以上的的HTTP响应数据包,则可判断HTTP的GET请求数据包中的目的IP地址存在HTTP劫持,HTTP的响应数据包的数量的检测应剔除属于TCP重传的响应数据包。将上述疑似异常IP地址进行多响应包检测,若初步结果存在多响应包则直接得到疑似异常IP地址为异常IP地址。
本实施例通过在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;并对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;再将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;再根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测,能够在不影响网络的情况下,提高检测流量劫持的效率和准确性。
图6是本发明又一实施例提供的流量劫持的检测方法的流程图。如图6所示,包括两个处理流程,第一个处理流程是:首先在网络的接口中获取信令数据,接着根据获取的信令数据进行TLL检测,获得疑似异常IP地址的列表。再然后,将上述疑似异常IP地址进行多响应包检测,若初步结果存在多个响应包则直接得到疑似异常IP地址为异常IP地址,并记录异常IP地址。该处理流程在上述实施例中已经详细描述,在此不再赘述。第二处理流程是:首先在网络的接口中获取信令数据,接着根据获取的信令数据进行TLL检测,获得疑似异常IP地址的列表。再然后,将上述疑似异常IP地址进行多响应包检测,若初步结果不存在多个响应包则需要将疑似异常IP地址进行ID值检测,若符合ID值检测的条件则疑似异常IP地址为异常IP地址,并记录异常IP地址。
下面针对第二个处理流程进行详细描述。优选地,所述方法还包括:当判断所述第一请求数据包所对应的第一响应数据包的数量小于预设数量时,判断所述终端与所述网络的会话中的响应数据包的源IP地址是否为所述第一请求数据包对应的第一IP地址;若是,判断所述会话中第一个响应数据包的ID值与所述会话中第二个响应数据包的ID值的差值是否大于第一预设值;若是,判断所述会话中第m-1个响应数据包的ID值与所述会话中第m个响应数据包的ID值的差值是否小于或等于第二预设值;若是,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,其中,m表示正整数,且3≤m≤n,n表示所述会话中包括的响应数据包的个数。藉此,能够进一步地检测疑似异常IP地址是否为异常IP地址,从而提高检测流量劫持的精度。
其中,ID为数据包中IP报头16bit的Identification字段的简称,它是每一个给定源IP地址、目的IP地址和协议类型的数据包的标识,在最大的数据包生存时间内ID值是唯一的。具体地,在发送侧,每当产生一个数据包时,便会在数据包的IP层进行ID赋值以作标识,ID赋值以递增1的方式累加,例如,发送端发送第一个数据包时,ID值为1,那么紧接着发送第二个数据包时,第二个数据包的ID值为2,如此类推。
表3
Figure BDA0001234881500000151
从流量劫持的原理来看,只有当伪造的响应数据包先于正常的响应数据包到达客户端,才能达到流量劫持的目的,表3是关于正常返回流程和异常返回流程的ID值变化示例。从正常返回的响应数据包的ID值顺序可看到,ID1~ID5的值是呈递增规律的,而由于劫持源不会监听下行流量,即劫持源不知道第一个正常响应数据包的ID值。因此,异常返回的响应数据包的ID值顺序的ID1与后面的ID2~ID5相差很大,基于这个原理,通过算法判断ID1与后面的ID2~ID5的相关性强度,便可判断该会话中响应数据包的源IP地址是否存在异常。
由于网络环境的不稳定性,存在丢包和乱序的情况,会影响结果的判断。因此,可限定ID2~ID5之间的相互差值为10,ID1与ID2的差值大于100,对多响应包检测算法未能进行判断的疑似异常IP地址进行处理,当返回的响应数据包的ID值符合上述情况时,则判断该会话为异常会话,存在劫持现象,也即是会话中响应数据包的源IP地址为异常IP地址。
图7是本发明又一实施例提供的流量劫持的检测方法的流程图。如图7所示,本实施例提供的流量劫持的检测方法包括四个步骤,其中,第一个步骤是根据信令平台的信令数据处理得到存在流量劫持的IP地址的列表(异常记录),该步骤已在上述实施例中进行详细描述在此不再赘述。第二个步骤、第三个步骤和第四个步骤是根据存在流量劫持的IP地址的列表定位存在流量劫持的IP地址的劫持源。具体地,以广东省的CMNET为例,第二个步骤定位存在流量劫持的IP地址的劫持源是否在广东的CMNET省网内,若是,则第三个步骤和第四个步骤定位存在流量劫持的IP地址的劫持源在广东的CMNET省网内的具体路由位置。
下面针对上述的第二个步骤进行详细描述。优选地,所述方法还包括:根据所述第二IP地址在所述请求数据包中查找到目的IP地址为所述第二IP地址的第二请求数据包;根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值;将所述第二IP地址对应的RTT值与预设的RTT值进行比较,得到比较结果;当根据所述比较结果判断所述第二IP地址对应的RTT值小于预设的RTT值时,则确定所述第二IP地址的劫持源所在的区域为省网内。藉此,能够定位存在流量劫持的IP地址的劫持源所在的区域。
其中,所述根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值,包括:根据获取到所述第二请求数据包的时间和获取到所述第二请求数据包对应的第二响应数据包的时间计算得到RTT值,并将该RTT值作为请求数据包中存在流量劫持的IP地址对应的RTT值。
其中,RTT(Round-Trip Time,往返时延)表示从发送端发送数据开始,到发送端收到来自接收端的确认(接收端收到数据后便立即发送确认),总共经历的时延。RTT是最真实不可伪造的数据,并非来自数据包的某个字段,由网络的接口进行统计。
图8是本发明一实施例提供的广东的CMNET的网络的层次图。如图8所示,广东的CMNET省网采用核心层、汇聚层和接入层三个层次,BR为广东省CMNET省网最边缘的网路,而直连BR核心路由器的服务器节点主要有IDC(Internet Data Center,互联网数据中心)和CACHE,可通过统计IDC和CACHE的RTT均值,对已检测出来的异常IP地址进行对比,在95%的置信区间内,当异常IP地址的RTT值小于IDC和CACHE的RTT均值区间时,判断该异常IP地址的劫持源在广东的CMNET省网内,作为劫持源的初步定位。经过多次抽样统计,IDC和CACHE的RTT均值在30ms左右,将30ms作为判断劫持源在省内的基准值,在异常IP地址的列表中,筛选出劫持源在广东的CMNET省网内的异常IP地址。
其中,CACHE的作用是将用户设备访问或下载的热点内容在存储设备中保存一个副本,当内容再次被用户设备访问或下载时,不必连接到驻留(源)网站,而是由CACHE中保留的副本直接提供,以达到加速访问或下载,降低网间带宽和依赖的目的。
下面针对上述的第三个步骤和第四个步骤进行详细描述。优选地,所述方法还包括:使用trancert命令确定在所述网络中所述第二请求数据包访问所述第二IP地址所采取的路径;使用协议包构造工具Scapy以TTL值递增的方式伪造请求数据包,并将伪造的请求数据包依次发送至所述网络中,所述伪造的请求数据包的目的IP地址为所述第二IP地址;当接收到所述网络根据所述伪造的请求数据包返回的响应数据包时,根据所述路径和使得所述网络返回所述响应数据包的伪造的请求数据包的TTL值确定所述第二IP地址的劫持源旁听的路由位置。藉此,能够定位存在流量劫持的IP地址的劫持源所在的具体路由位置。
其中,协议包构造工具Scapy是一个强大的交互式包处理工具,可指出伪造大部分常见协议的数据包,也可以发送、捕获、匹配请求数据包和响应数据包等等,可很容易的处理大部分的典型的任务,例如,扫描,追踪,嗅探,单元测试,网络攻击,网络发现。scapy也能很好的处理常规工具无法处理的其他特殊的任务,例如,发送无效的数据帧,802.11数据帧注入。
图9是本发明一实施例提供的定位流量劫持的劫持源的示意图。如图9所示,在终端访问异常IP地址所采取的路由下,向该异常IP地址以TTL递增的方式发送伪造的请求数据包,解析收到的响应数据包。如果劫持者的服务器没有对请求数据包的TTL字段的值进行特殊处理,则必然会先收到劫持者发送的HTTP响应数据包。结合终端访问异常IP地址所采取的路由和使得劫持者返回响应数据包的伪造的请求数据包的TTL值就可以定位劫持者位于哪一条路由后面,从而得到该异常IP地址的劫持源的具体路由位置。
本实施例能够实现从信令数据上识别99.61%的异常流量,再结合异常IP地址的列表,实测判断异常流量(流量劫持)的误判率小于0.5%。通过异常流量的定位结合信令的回朔追踪功能:即实时匹配并记录网络异常流量的变化,包括URL、HOST、TTL、ID、PORT、状态码、目的IP地址及业务连接的路由RTT,根据上述的变化过程,触发异常流量检测的识别状态机制以此来对异常流量(流量劫持)进行自动识别。同时,异常流量(流量劫持)的识别结果将以图表方式呈现,提高了异常流量(流量劫持)的识别效率。
本发明的实施例与现有技术相比,具备如下几方面的优点:
1、应用面广:数据源为实际用户的请求数据包的流量,数据基数大、价值高。通过信令接入方式的业务应用均可使用本发明实施例提供的方法。
2、高效准确:通过网络类似劫持流量产品验证,准确率较高,可自动识别99.61%的异常流量信息,结合异常信令回朔可进一步筛查劫持业务源和劫持源,大幅提高识别效率和准确性。
3、分析成本低:相对人工发现的定位相比,疑似异常流量原始信息采集、识别、结果反馈均自动化实现,提升了人工的局限性,大大的节省人工核查的人力成本。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
图10是本发明一实施例提供的流量劫持的检测装置的结构示意图。如图10所示,本发明一实施例提供的流量劫持的检测装置包括获取单元201、处理单元202、比较单元203、第一确定单元204、第二确定单元205和第三确定单元206,其中:
获取单元201,用于在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;
处理单元202,用于对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;
比较单元203,用于将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;
第一确定单元204,用于当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;
第二确定单元205,用于根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;
第三确定单元206,用于当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
本实施例提供的流量劫持的检测装置适用于以上实施例对应的流量劫持的检测方法,在此不再赘述。
本实施例提供的流量劫持的检测装置,获取单元201在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;处理单元202对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;比较单元203将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;第一确定单元204当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;第二确定单元205根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;第三确定单元206当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测,能够在不影响网络的情况下,提高检测流量劫持的效率和准确性。
在本发明的一可选实施方式中,所述处理单元202,具体用于:
根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;
根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
在本发明的一可选实施方式中,所述第二确定单元205,具体用于:
根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;
剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;
统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。
上述实施例提供的流量劫持的检测装置的原理和技术效果与对应的方法实施例相同,在此不再赘述。
图11是本发明又一实施例提供的流量劫持的检测装置的结构示意图。如图11所示,所述流量劫持的检测装置包括:处理器(processor)301、存储器(memory)302、通信接口(Communications Interface)303和通信总线304;
其中,所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信;
所述通信接口303用于该流量劫持的检测装置与网络的接口之间的信息传输;
所述处理器301用于调用所述存储器302中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的流量劫持的检测装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。

Claims (8)

1.一种流量劫持的检测方法,其特征在于,所述方法包括:
在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;
对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;
将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;
当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;
根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;
当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测;
所述方法还包括:
根据所述第二IP地址在所述请求数据包中查找到目的IP地址为所述第二IP地址的第二请求数据包;
根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值;
将所述第二IP地址对应的RTT值与预设的RTT值进行比较,得到比较结果;
当根据所述比较结果判断所述第二IP地址对应的RTT值小于预设的RTT值时,则确定所述第二IP地址的劫持源所在的区域为省网内;
使用trancert命令确定在所述网络中所述第二请求数据包访问所述第二IP地址所采取的路径;
使用协议包构造工具Scapy以TTL值递增的方式伪造请求数据包,并将伪造的请求数据包依次发送至所述网络中,所述伪造的请求数据包的目的IP地址为所述第二IP地址;
当接收到所述网络根据所述伪造的请求数据包返回的响应数据包时,根据所述路径和使得所述网络返回所述响应数据包的伪造的请求数据包的TTL值确定所述第二IP地址的劫持源旁听的路由位置。
2.根据权利要求1所述的流量劫持的检测方法,其特征在于,所述方法还包括:
当判断所述第一请求数据包所对应的第一响应数据包的数量小于预设数量时,判断所述终端与所述网络的会话中的响应数据包的源IP地址是否为所述第一请求数据包对应的第一IP地址;
若是,判断所述会话中第一个响应数据包的ID值与所述会话中第二个响应数据包的ID值的差值是否大于第一预设值;
若是,判断所述会话中第m-1个响应数据包的ID值与所述会话中第m个响应数据包的ID值的差值是否小于或等于第二预设值;
若是,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,
其中,m表示正整数,且3≤m≤n,n表示所述会话中包括的响应数据包的个数。
3.根据权利要求1所述的流量劫持的检测方法,其特征在于,所述对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差,包括:
根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;
根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
4.根据权利要求3所述的流量劫持的检测方法,其特征在于,所述根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差,包括:
剔除IP地址对应的TTL返回值大于或等于第三预设值的数据和所述TTL返回值对应的出现次数小于或等于第四预设值的数据;
根据以下公式计算得到所述IP地址对应的TTL返回值的标准偏差:
Figure FDA0002706938270000031
其中,S表示所述IP地址对应的TTL返回值的标准偏差,N表示剔除后所述IP地址对应的TTL返回值的个数,Xi表示剔除后所述IP地址对应的第i个TTL返回值,E(X)表示剔除后所述网络中TTL返回值的均值,i表示常数。
5.根据权利要求1所述的流量劫持的检测方法,其特征在于,所述根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量,包括:
根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;
剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;
统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。
6.一种流量劫持的检测装置,其特征在于,所述装置包括:
获取单元,用于在网络的接口中获取预设时间段内用于分析流量劫持的信令数据,所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包;
处理单元,用于对所述响应数据包进行处理,得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差;
比较单元,用于将每个IP地址对应的TTL返回值的标准偏差与预设的所述网络中TLL返回值的抖动门阀值进行比较,得到比较结果;
第一确定单元,用于当根据所述比较结果判断IP地址对应的TTL返回值的标准偏差大于或等于所述均值时,则确定所述IP地址为疑似存在流量劫持的第一IP地址;
第二确定单元,用于根据所述第一IP地址确定所述请求数据包中目的IP地址为所述第一IP地址的第一请求数据包所对应的第一响应数据包的数量;
第三确定单元,用于当判断所述第一请求数据包所对应的第一响应数据包的数量大于或等于预设数量时,则确定所述第一请求数据包对应的第一IP地址为存在流量劫持的第二IP地址,从而实现流量劫持的检测;
劫持源所在区域确定单元,用于根据所述第二IP地址在所述请求数据包中查找到目的IP地址为所述第二IP地址的第二请求数据包;
根据所述第二请求数据包和所述第二请求数据包对应的第二响应数据包确定所述第二IP地址对应的RTT值;
将所述第二IP地址对应的RTT值与预设的RTT值进行比较,得到比较结果;
当根据所述比较结果判断所述第二IP地址对应的RTT值小于预设的RTT值时,则确定所述第二IP地址的劫持源所在的区域为省网内;
劫持源旁听路由位置确定单元,用于使用trancert命令确定在所述网络中所述第二请求数据包访问所述第二IP地址所采取的路径;
使用协议包构造工具Scapy以TTL值递增的方式伪造请求数据包,并将伪造的请求数据包依次发送至所述网络中,所述伪造的请求数据包的目的IP地址为所述第二IP地址;
当接收到所述网络根据所述伪造的请求数据包返回的响应数据包时,根据所述路径和使得所述网络返回所述响应数据包的伪造的请求数据包的TTL值确定所述第二IP地址的劫持源旁听的路由位置。
7.根据权利要求6所述的流量劫持的检测装置,其特征在于,所述处理单元,具体用于:
根据所述响应数据包的TTL返回值和源IP地址统计得到所述网络中多个IP地址分别对应的TTL返回值和所述TTL返回值分别对应的出现次数;
根据每个IP地址对应的TTL返回值和所述TTL返回值分别对应的出现次数确定每个IP地址对应的TTL返回值的标准偏差。
8.根据权利要求6所述的流量劫持的检测装置,其特征在于,所述第二确定单元,具体用于:
根据所述第一IP地址在所述请求数据包中查找到目的IP地址为所述第一IP地址的所述第一请求数据包;
剔除所述第一请求数据包所对应的第一响应数据包中存在的TCP重传响应数据包;
统计剔除后所述第一请求数据包所对应的第一响应数据包的数量。
CN201710112616.1A 2017-02-28 2017-02-28 一种流量劫持的检测方法及装置 Active CN108512816B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710112616.1A CN108512816B (zh) 2017-02-28 2017-02-28 一种流量劫持的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710112616.1A CN108512816B (zh) 2017-02-28 2017-02-28 一种流量劫持的检测方法及装置

Publications (2)

Publication Number Publication Date
CN108512816A CN108512816A (zh) 2018-09-07
CN108512816B true CN108512816B (zh) 2021-04-27

Family

ID=63374290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710112616.1A Active CN108512816B (zh) 2017-02-28 2017-02-28 一种流量劫持的检测方法及装置

Country Status (1)

Country Link
CN (1) CN108512816B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111049821B (zh) * 2019-12-09 2022-06-07 杭州安恒信息技术股份有限公司 一种防http劫持的方法、装置和电子设备
CN111371649B (zh) * 2020-03-03 2021-11-30 恒为科技(上海)股份有限公司 一种深度包检测方法及装置
CN111556080A (zh) * 2020-05-18 2020-08-18 网易(杭州)网络有限公司 网络节点监控方法、装置、介质及电子设备
CN113923040B (zh) * 2021-10-21 2024-03-01 中国电信股份有限公司 流量劫持点检测方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1954545A (zh) * 2003-03-03 2007-04-25 思科技术公司 利用tcp认证ip源地址
CN101247217A (zh) * 2008-03-17 2008-08-20 北京星网锐捷网络技术有限公司 防止地址解析协议流量攻击的方法、单元和系统
CN101378394A (zh) * 2008-09-26 2009-03-04 成都市华为赛门铁克科技有限公司 分布式拒绝服务检测防御方法及网络设备
CN101980477A (zh) * 2010-10-09 2011-02-23 北京星网锐捷网络技术有限公司 检测影子用户的数目的方法和装置及网络设备
CN104796423A (zh) * 2015-04-28 2015-07-22 福建六壬网安股份有限公司 Arp双向主动防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4764810B2 (ja) * 2006-12-14 2011-09-07 富士通株式会社 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1954545A (zh) * 2003-03-03 2007-04-25 思科技术公司 利用tcp认证ip源地址
CN101247217A (zh) * 2008-03-17 2008-08-20 北京星网锐捷网络技术有限公司 防止地址解析协议流量攻击的方法、单元和系统
CN101378394A (zh) * 2008-09-26 2009-03-04 成都市华为赛门铁克科技有限公司 分布式拒绝服务检测防御方法及网络设备
CN101980477A (zh) * 2010-10-09 2011-02-23 北京星网锐捷网络技术有限公司 检测影子用户的数目的方法和装置及网络设备
CN104796423A (zh) * 2015-04-28 2015-07-22 福建六壬网安股份有限公司 Arp双向主动防御方法

Also Published As

Publication number Publication date
CN108512816A (zh) 2018-09-07

Similar Documents

Publication Publication Date Title
US10637771B2 (en) System and method for real-time load balancing of network packets
US11374837B2 (en) Categorizing IP-based network traffic using DNS data
EP2939454B1 (en) System and method for correlating network information with subscriber information in a mobile network environment
CN108512816B (zh) 一种流量劫持的检测方法及装置
CN107888605B (zh) 一种物联网云平台流量安全分析方法和系统
EP2518940B1 (en) Automatic network topology detection and modeling
US20170134957A1 (en) System and method for correlating network information with subscriber information in a mobile network environment
CN105357146B (zh) 出口网关内缓存队列饱和攻击防御方法、装置及系统
JP2007184799A (ja) パケット通信装置
CN107800668B (zh) 一种分布式拒绝服务攻击防御方法、装置及系统
CN111314179B (zh) 网络质量检测方法、装置、设备和存储介质
EP3223495A1 (en) Detecting an anomalous activity within a computer network
CN104639443A (zh) 一种报文快速转发的方法和装置
CA2911989C (en) Method, system and apparatus for dectecting instant message spam
US11979374B2 (en) Local network device connection control
CN112020862A (zh) 在远程网络上标识设备
CN107222403A (zh) 一种数据传输方法、系统和电子设备
CN103916489B (zh) 一种单域名多ip的域名解析方法及系统
CN110380981B (zh) 一种流量分发方法及设备
JP6212344B2 (ja) ネットワーク監視装置、ネットワーク監視システム、ネットワーク監視方法およびネットワーク監視プログラム
KR20120071863A (ko) Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법
CN111818134A (zh) 变电站数据中心内基于雾计算的数据传输方法及装置
CN1321511C (zh) 用户终端的代理服务检测方法
CN116708150B (zh) 网络诊断方法和电子设备
WO2024164708A1 (zh) 共享上网行为的检测方法、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant