CN112333174B - 一种反射型DDos的IP扫描探测系统 - Google Patents

一种反射型DDos的IP扫描探测系统 Download PDF

Info

Publication number
CN112333174B
CN112333174B CN202011178993.3A CN202011178993A CN112333174B CN 112333174 B CN112333174 B CN 112333174B CN 202011178993 A CN202011178993 A CN 202011178993A CN 112333174 B CN112333174 B CN 112333174B
Authority
CN
China
Prior art keywords
port
module
data
detection module
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011178993.3A
Other languages
English (en)
Other versions
CN112333174A (zh
Inventor
徐文强
赵俊
单夏烨
任新新
段吉瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Guangtong Tianxia Network Technology Co ltd
Original Assignee
Hangzhou Guangtong Tianxia Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Guangtong Tianxia Network Technology Co ltd filed Critical Hangzhou Guangtong Tianxia Network Technology Co ltd
Priority to CN202011178993.3A priority Critical patent/CN112333174B/zh
Publication of CN112333174A publication Critical patent/CN112333174A/zh
Application granted granted Critical
Publication of CN112333174B publication Critical patent/CN112333174B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/54Indexing scheme relating to G06F9/54
    • G06F2209/548Queue
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Analysing Materials By The Use Of Radiation (AREA)

Abstract

本发明提供了一种反射型DDos的IP扫描探测系统,包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块;所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息;所述消息队列模块用于缓存各个部分信息,在端口探测模块扫描时,实时推送至消息队列模块,消息队列模块将数据存储至数据库;所述数据存储模块用于数据的存储,数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的IP以及放大倍率数据;所述IP识别探测模块用于,监听固定端口、IP及倍率统计、伪造端口发送探测报文。

Description

一种反射型DDos的IP扫描探测系统
技术领域
本发明涉及网络安全领域,尤其涉及一种反射型DDos的IP扫描探测系统。
背景技术
随着互联网的发展,DDOS(分布式拒绝服务)攻击越来越为常见。从早期的SYNFlood等逐步转向流量更大的DRDos(分布式反射拒绝服务)。DRDos与DOS、DDOS不同的是,通过伪造受害者的IP地址和端口,将数据包经过存在漏洞的服务器反射至受害者,往往可以获得更大的流量,形成方法攻击的效果。
而目前针对存在反射放大漏洞IP的检测,通常只有针对单个IP地址或者小范围的IP地址集进行探测发现,由于其发现速度较慢,难以在较短的时间内监控大量IP地址。对于大范围的IP地址,往往需要较长时间,且更新缓慢不及时。
与TCP协议不同,由于UDP协议是一个无连接协议,导致攻击者可以通过伪造UDP包的IP地址,而目标主机在接收到后会将请求包返回至我们伪造的IP地址。而许多基于UDP协议的,如DNS,NTP,SSDP等协议,在配置不当或存在漏洞等情况下,往往会返回一个大于原先数据包几倍甚至几十倍的报文。
现有的反射放大漏洞IP的检测,通常使用到的工具为nmap,使用其自带的nse脚本,或者自行编写nse脚本,实现对特定端口的扫描以及识别。其校验的大致过程为发送一个请求包,等待返回的数据包,并计算其放大倍数,若存在多个IP则重复上述步骤。
现有技术的缺点是,对于存在反射漏洞的IP识别较慢,对于大范围的识别需要消费大量的时间,并难以保证大范围内识别的时效性。
发明内容
针对现有技术的不足,本发明提供一种反射型DDos的IP扫描探测系统,包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块;本发明将端口探测模块和IP识别探测模块分开,以及IP识别探测模块内部的扫描逻辑,使得探测速度大幅度提升;
所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息;特定端口指存在DDOS反射漏洞协议的端口,如DNS的53端口,NTP的123端口等。端口探测模块用来探测IP集内这些端口的开放信息(即是否处于开放状态),仅记录处于开放端口以及对应的IP地址信息,不记录未开放的端口信息
所述消息队列模块用于缓存各个部分信息(包括端口探测模块的扫描结果,以及IP识别探测模块的扫描结果),在端口探测模块扫描时,将端口探测模块的扫描结果以键值对的形式(以端口作为键,开放的IP整合为数组作为值)整合,实时推送至消息队列模块,消息队列模块将端口探测模块结果数据以及IP探测模块结果数据存储至数据库;
所述数据存储模块用于数据的存储,其存储的字段包括IP地址、端口、时间、状态(是否存在DDOS漏洞)和放大倍率,数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的识别结果;所有端口数据即目标IP集内的特定端口开放信息;IP识别探测模块的识别结果包括存在反射型DDOS的IP、端口以及放大倍率;即在数据存储模块中包含的元数据为:IP地址,端口,时间,状态(是否存在DDOS漏洞)以及放大倍率。
所述IP识别探测模块用于,监听固定端口、IP及倍率统计、伪造端口、构造各协议扫描载荷发送探测报文。端口探测模块采集的IP端口信息,都是可能存在反射型DDOS协议的端口,例如DNS。但是并不是DNS协议就会存在反射放大的问题,这是由于配置错误等情况导致的,所以IP识别探测模块就是通过发送请求数据来筛选出这些IP中,可能存在漏洞的IP地址;
所述IP探测模块在扫描目标IP的特定端口是否开放时,通过消息队列模块从数据库获取对应数据,对应数据即IP集的端口开放数据。
所述IP识别探测模块通过伪造源IP的请求端口为指定端口,指定端口即监听端口,并构造请求包数据字段为触发漏洞的载荷,数据会返回至监听端口(即存在漏洞的IP端口会答应发出的探测报文,返回数据,而不存在漏洞的,则不会返回对应数据),同时探测报文包括多种协议的检测(探测报文是由IP识别探测模块构造的,用于识别刺探漏洞端口的原始报文),多种协议包括SSDP协议,SNMP协议,DNS协议,MEMCACHED协议,PORTMAP协议,OPENVPN协议,LDAP协议和NTP协议。
所述IP识别探测模块通过构造协议特定的请求包(通过分析存在漏洞协议的报文,即在UDP包的data段中带入漏洞报文即可),存在漏洞的IP会向监听端口返回对应数据。对应数据即存在漏洞的IP端口会对我们发出去的请求包作出答应,称之为对应数据;如服务器的NTP服务在允许Monlist请求的情况下,当请求Monlist指令后,会默认返回最新同步的600个IP,因此会造成反射放大DDOS。IP识别探测模块通过监听固定UDP端口(例如50000端口),同时构造请求包的源端口为50000端口,向目标服务器的NTP端口(默认为123)发送Monlist指令的请求报文,存在漏洞的服务器会在接收到请求后,会向UDP报文的源端口(即伪造的50000端口)回应多个查询结果报文。
所述IP识别探测模块通过计算发送出的请求包的大小s1(发送出的请求包即所述构造的协议特定的请求包),以及接收到的数据包大小为s2(监听端口监听到的返回数据包。存在漏洞的IP端口会对发出的构造的请求包做出答应,即为接受到的数据包),接受到的数据包个数为n,得出放大倍数为n*(s2/s1)。放大倍数是反射DDOS中的一个指标。同样存在漏洞的两个IP可能在放大倍率上存在较大区别。放大倍率的作用即对存在漏洞的IP端口的更详细描述。
所述IP识别探测模块的单个端口只接受单种类型协议的返回包(返回包即构造的请求报文发送过去,如若存在漏洞,则会返回对应报文)。单个端口实现逻辑如下:例如现在有两种协议同时在探测,如果将返回的报文统一设定到同一端口,则需要对每个进入的包再做一次协议判断(判断返回的是哪种协议的),在性能上会有一定损耗。但是每个协议返回的端口不同,就不需要对报文做额外判断。所以每个端口(即单个端口),只接受一种协议的返回包。
所述系统执行如下步骤:
步骤1,端口探测模块快速发现目标IP集的特定端口开放情况(仅限于可能存在反射型DDOS漏洞的默认端口,如DNS的53端口,SSDP的1900端口),并实时推送至消息队列模块,同时IP识别探测模块会从消息队列模块中提取端口探测模块的扫描结果,通过伪造请求包的源端口(伪造的端口即为本地监听的固定端口)发送探测报文以及监听固定端口的工作方式,异步地完成IP扫描识别,并且以返回报文的数量以及包的大小统计放大倍率,同时将结果以IP地址,端口,时间,状态,放大倍率为一组元数据推送至消息队列,由数据存储模块以IP地址以及端口作为联合主键对结果进行存储或者更新;
步骤2,为了保证数据的时效性以及可用性,数据存储模块会根据数据库中的时间字段,将长期(自定义时间,如一个月)没有更迭的数据推送至消息队列,由IP识别探测模块重新进行扫描校验,对数据进行实时更新。数据产出可为威胁情报,抗DDOS产品等进行数据层面的支撑以及产品赋能。
有益效果:本发明通过制定合理的探测和监控方案,在较短时间内快速发现大量IP地址中可能存在的反射漏洞的IP地址,并支持多种协议探测。本发明通过设定快速、高效的扫描程序以及合理的扫描逻辑,实现大网段内目标的快速识别发现,快速判别存在反射漏洞的IP,并存储数据,实现周期循环监控。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。
图1是本发明系统结构图。
具体实施方式
本发明提供一种反射型DDos的IP扫描探测系统,包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块;本发明将端口探测模块和IP识别探测模块分开,以及IP识别探测模块内部的扫描逻辑,使得探测速度大幅度提升;
所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息;特定端口指存在DDOS反射漏洞协议的端口,如DNS的53端口,NTP的123端口等。端口探测模块用来探测IP集内这些端口的开放信息(即是否处于开放状态)
所述消息队列模块用于缓存各个部分信息(包括端口探测模块的扫描结果,以及IP识别探测模块的扫描结果),在端口探测模块扫描时,将端口探测模块的扫描结果实时推送至消息队列模块,消息队列模块将端口探测模块结果数据以及IP探测模块结果数据存储至数据库;
所述数据存储模块用于数据的存储,数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的识别结果;所有端口数据即目标IP集内的特定端口开放信息;IP识别探测模块的识别结果包括存在反射型DDOS的IP、端口以及放大倍率;
所述IP识别探测模块用于,监听固定端口、IP及倍率统计、伪造端口发送探测报文。端口探测模块采集的IP端口信息,都是可能存在反射型DDOS协议的端口,例如DNS。但是并不是DNS协议就会存在反射放大的问题,这是由于配置错误等情况导致的,所以IP识别探测模块就是通过发送请求数据来筛选出这些IP中,可能存在漏洞的IP地址;
所述IP探测模块在扫描目标IP的特定端口是否开放时,通过消息队列模块从数据库获取对应数据,对应数据即IP集的端口开放数据。
所述IP识别探测模块通过伪造源IP的请求端口为指定端口,指定端口即监听端口,数据会返回至监听端口(即存在漏洞的IP端口会答应发出的探测报文,返回数据,而不存在漏洞的,则不会返回对应数据),同时探测报文包括多种协议的检测(探测报文是由IP识别探测模块构造的,用于识别刺探漏洞端口的原始报文),多种协议包括SSDP协议,SNMP协议,DNS协议,MEMCACHED协议和NTP协议。
所述IP识别探测模块通过构造协议特定的请求包(通过分析存在漏洞协议的报文,即在UDP包的data段中带入漏洞报文即可),存在漏洞的IP会向监听端口返回对应数据。对应数据即存在漏洞的IP端口会对我们发出去的请求包作出答应,称之为对应数据;
所述IP识别探测模块通过计算发送出的请求包的大小s1(发送出的请求包即所述构造的协议特定的请求包),以及接收到的数据包大小为s2(监听端口监听到的返回数据包。存在漏洞的IP端口会对发出的构造的请求包做出答应,即为接受到的数据包),接受到的数据包个数为n,得出放大倍数为n*(s2/s1)。放大倍数是反射DDOS中的一个指标。同样存在漏洞的两个IP可能在放大倍率上存在较大区别。放大倍率的作用即对存在漏洞的IP端口的更详细描述。
所述IP识别探测模块的单个端口只接受单种类型协议的返回包(返回包即构造的请求报文发送过去,如若存在漏洞,则会返回对应报文)。单个端口实现逻辑如下:例如现在有两种协议同时在探测,如果将返回的报文统一设定到同一端口,则需要对每个进入的包再做一次协议判断(判断返回的是哪种协议的),在性能上会有一定损耗。但是每个协议返回的端口不同,就不需要对报文做额外判断。所以每个端口(即单个端口),只接受一种协议的返回包。
所述系统执行如下步骤:
步骤1,端口探测模块快速发现目标IP集的特定端口开放情况(仅限于可能存在反射型DDOS漏洞的默认端口,如DNS的53端口,SSDP的1900端口),并实时推送至消息队列模块,同时IP识别探测模块会从消息队列模块中提取端口探测模块的扫描结果,通过伪造端口(伪造的端口即为本地监听的固定端口)发送探测报文以及监听固定端口的工作方式,异步地完成IP扫描识别,并且以返回报文的数量以及包的大小统计放大倍率,同时将结果推送至消息队列,由数据存储模块对结果进行存储;
步骤2,为了保证数据的时效性以及可用性,数据存储模块会将长期(自定义时间,如一个月)没有更迭的数据推送至消息队列,由IP识别探测模块重新进行扫描校验,对数据进行实时更新。数据产出可为威胁情报,抗DDOS产品等进行数据层面的支撑以及产品赋能。
实施例
如图1所示,本发明提供了一种反射型DDos的IP扫描探测系统,包括:
1.端口探测模块:该部分主要用于快速识别目标IP集内的特定端口开放信息。该部分不涉及指纹识别与发现等,仅做IP的端口开放识别。该模块的特点为扫描速度快,一般基于Masscan工具做封装开发
2.消息队列模块:该模块主要负责缓存各个部分信息,是生产-消费模型中关键的一环。在端口探测模块扫描时,实时推送至消息队列模块,消息队列模块将数据存储至数据库。IP探测模块在扫描时,也会通过消息队列模块从数据库获取对应数据;
3.数据存储模块:该模块主要用于数据的存储,其数据源有两个部分组成。一为由端口采集模块采集到的所有端口数据,二为IP识别探测模块的IP以及放大倍率数据。同时模块内部设定超时删除(即若在多次端口探测中均不存在,则剔除该IP字段),字段去重等相关逻辑。
4.IP识别探测模块:该模块的特点主要为其内部实现逻辑。通常来说做端口识别时,直接发送数据包后监听该端口,等待响应。这样会占用大量的端口,并且校验效率迟缓。由于UDP是无连接服务,基于该特点,通过伪造源IP的请求端口为指定端口(即监听端口),数据会返回至监听端口,大幅度地提高扫描的效率。同时探测报文涵盖多种协议的检测,包括但是不限于SSDP协议,SNMP协议,DNS协议,MEMCACHED协议,NTP协议等等。通过构造协议特定的请求包,存在漏洞的IP会向监听端口返回对应数据。通过计算发送出的请求包的大小s1,以及接收到的数据包大小为s2,接受到的数据包个数为n,能够快速得出放大倍数为n*(s2/s1)。为了避免多个协议带来的统计上的干扰,该模块的单个端口只接受单种类型协议的返回包。
本发明系统能够快速发现目标IP范围内的数据资产,生产者-消费者的模式以及多种类型的协议探针,异步、快速地发现资产中所存有的存在反射型DDOS漏洞的IP以及其协议。通过数据存储模块进行轮询推送以及端口探测模块的定时采集,保证了数据存储模块中资产的时效性以及有效性。产出的数据可用于抗DDOS产品作为预判值,同时可用于网络空间绘测,实现范围内IP监管
本发明系统通过分离端口扫描和漏洞识别,采用生产者-消费者的异步结构快速发现存在漏洞的IP地址,同时该平台支持多种协议的检测识别。较先前的一些整合端口以及漏洞识别的工具,该平台扫描和探测更加快速,存储在数据存储模块的IP数据集更具有时效性和准确性,可用于抗DDOS设备以及安全网关等设备的预判断值,为安全产品赋能。
相关技术术语的名词解释:
Masscan:是一款快速的互联网端口扫描器;
SSDP:(SSDP,Simple Service Discovery Protocol)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一;
SNMP、DNS、Memcached等都是一些基于UDP的协议,在配置不当的情况下可被用于做反射型DDOS攻击。
本发明提供了一种反射型DDos的IP扫描探测系统,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (1)

1.一种反射型DDOS的IP扫描探测系统,其特征在于,包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块;
所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息;
所述消息队列模块用于缓存各个部分信息,在端口探测模块扫描时,将端口探测模块的扫描结果以键值对的形式整合,实时推送至消息队列模块,消息队列模块将端口探测模块结果数据以及IP探测模块结果数据存储至数据库;
所述数据存储模块用于数据的存储,其存储的字段包括IP地址、端口、时间、状态和放大倍率,数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的识别结果;所有端口数据即目标IP集内的特定端口开放信息;IP识别探测模块的识别结果包括存在反射型DDOS的IP、端口以及放大倍率;
所述IP识别探测模块用于,监听固定端口、IP及倍率统计、伪造端口、构造各协议扫描载荷发送探测报文;
所述IP探测模块在扫描目标IP的特定端口是否开放时,通过消息队列模块从数据库获取对应数据,对应数据即IP集的端口开放数据;
所述IP识别探测模块通过伪造源IP的请求端口为指定端口,指定端口即监听端口,并构造请求包数据字段为触发漏洞的载荷,数据会返回至监听端口,同时探测报文包括多种协议的检测,多种协议包括SSDP协议,SNMP协议,DNS协议,MEMCACHED协议,PORTMAP协议,OPENVPN协议,LDAP协议和NTP协议;
所述IP识别探测模块通过构造协议特定的请求包,存在漏洞的IP会向监听端口返回对应数据;
所述IP识别探测模块通过计算发送出的请求包的大小s1,以及接收到的数据包大小为s2,接受到的数据包个数为n,得出放大倍数为n*(s2/s1);
所述IP识别探测模块的单个端口只接受单种类型协议的返回包;
系统执行如下步骤:
步骤1,端口探测模块快速发现目标IP集的特定端口开放情况,并实时推送至消息队列模块,同时IP识别探测模块会从消息队列模块中提取端口探测模块的扫描结果,通过伪造请求包的源端口发送探测报文以及监听固定端口的工作方式,异步地完成IP扫描识别,并且以返回报文的数量以及包的大小统计放大倍率,同时将结果以IP地址,端口,时间,状态,放大倍率为一组元数据推送至消息队列,由数据存储模块以IP地址以及端口作为联合主键对结果进行存储或者更新;
步骤2 ,数据存储模块会将长期没有更迭的数据推送至消息队列,由IP识别探测模块重新进行扫描校验,对数据进行实时更新。
CN202011178993.3A 2020-10-29 2020-10-29 一种反射型DDos的IP扫描探测系统 Active CN112333174B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011178993.3A CN112333174B (zh) 2020-10-29 2020-10-29 一种反射型DDos的IP扫描探测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011178993.3A CN112333174B (zh) 2020-10-29 2020-10-29 一种反射型DDos的IP扫描探测系统

Publications (2)

Publication Number Publication Date
CN112333174A CN112333174A (zh) 2021-02-05
CN112333174B true CN112333174B (zh) 2022-08-23

Family

ID=74296245

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011178993.3A Active CN112333174B (zh) 2020-10-29 2020-10-29 一种反射型DDos的IP扫描探测系统

Country Status (1)

Country Link
CN (1) CN112333174B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024877B (zh) * 2021-10-29 2023-02-17 恒安嘉新(北京)科技股份公司 主机存活探测方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测系统
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质
WO2020136635A1 (en) * 2018-12-25 2020-07-02 Tartico Ltd Method and system for identifying vulnerability levels in devices operated on a given network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测系统
WO2020136635A1 (en) * 2018-12-25 2020-07-02 Tartico Ltd Method and system for identifying vulnerability levels in devices operated on a given network
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
An_Authentication_Scheme_to_Defend_Against_UDP_DrDoS_Attacks_in_5G_Networks;HAIOU HUANG,et al.;《IEEE》;20191219;全文 *
一种新的DDOS攻击及其防护措施研究;刘克胜等;《网络安全技术与应用》;20031231(第03期);全文 *
基于NTP的DRDoS攻击研究及实验;李臣杰等;《现代信息科技》;20200710;全文 *
基于SDN的UDP反射攻击响应方案;丁伟;《计算机工程》;20200131;全文 *
基于流记录的扫描和反射攻击行为主机检测;李刚;《中国优秀博硕士学位论文全文数据库(硕士)(信息科技辑)》;20170315;正文第2.3节、第三章、第4.2-4.4节 *
如何发现 NTP 放大攻击漏洞;weixin_33775582;《CSDN》;20180308;正文第0x00-0x02节 *
检测DRDoS攻击的新方法;贺燕等;《计算机工程与应用》;20111231;全文 *

Also Published As

Publication number Publication date
CN112333174A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
US7370357B2 (en) Specification-based anomaly detection
US8065722B2 (en) Semantically-aware network intrusion signature generator
Sekar et al. Specification-based anomaly detection: a new approach for detecting network intrusions
CN110650128B (zh) 一种检测以太坊数字货币盗取攻击的系统及方法
CN111988339B (zh) 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
CN111225002B (zh) 一种网络攻击溯源方法、装置、电子设备和存储介质
CN112671553A (zh) 基于主被动探测的工控网络拓扑图生成方法
US20110030059A1 (en) Method for testing the security posture of a system
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN111628900A (zh) 基于网络协议的模糊测试方法、装置和计算机可读介质
CN112333174B (zh) 一种反射型DDos的IP扫描探测系统
Barford et al. Employing honeynets for network situational awareness
CN113872931B (zh) 一种端口扫描行为的检测方法及系统、服务器、代理节点
US8149723B2 (en) Systems and methods for discovering machines
Allen et al. Automated detection of malicious reconnaissance to enhance network security
CN110769004B (zh) 在dns客户端或代理服务器使用的dns防污染方法
CN116708253B (zh) 设备识别方法、装置、设备及介质
Zhou et al. Fingerprinting IIoT devices through machine learning techniques
CN113810386B (zh) 一种从大数据中提取用于网络安全的训练数据方法和装置
CN114363087B (zh) 一种基于旁路干扰的扫描器对抗方法及系统
CN114978571B (zh) 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统
US20230370482A1 (en) Method for identifying successful attack and protection device
Bykasov et al. Trust Model for Active Scanning Methods, Ensuring Their Secure Interaction with Automated Process Control Networks
CN115296891A (zh) 数据探测系统和数据探测方法
Görtz et al. Generation of Distributed Denial of Service Network Data with Phyton and Scapy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant