[发明专利]网络层DDOS攻击源识别方法、装置及系统

说明书

本发明提供一种网络层DDOS攻击源识别方法，包括：检测服务器在监测到第一服务器受到DDOS攻击时，从第一服务器获取DDOS攻击包，提取DDOS攻击包中的攻击源IP地址与攻击源IP地址的TTL值；向第二服务器发送包含攻击源IP地址的探测指令；接收第二服务器根据探测指令返回的探测响应包，提取探测响应包中的探测源IP地址与探测源IP地址的TTL值；以及判断攻击源IP地址的TTL值与探测源IP地址的TTL值的差值是否大于预置值，若是，则确定攻击源IP地址为伪造的IP地址，若否，则确定攻击源IP地址为真实的IP地址。此外，本发明还提供一种网络层DDOS攻击源识别装置及系统。上述网络层DDOS攻击源识别方法、装置及系统可快速而有效地识别网络层DDOS攻击源。

技术领域

本发明涉及计算机通信技术领域，尤其涉及一种网络层DDOS攻击源识别方法、装置及系统。

背景技术

DOS（Denial of Service，拒绝服务）攻击，是指一种可造成服务器无法提供正常服务的攻击。最常见的DOS攻击有网络带宽攻击和连通性攻击。其中带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击服务器，使得所有可用的操作系统资源都被消耗殆尽，最终服务器无法再处理合法用户的请求。

DDOS（Distributed Denial of Service，分布式拒绝服务）攻击是指借助于客户端/服务器技术，将多个客户端联合起来作为攻击平台，对一个或多个目标发动DOS攻击。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个客户端上，主控程序在预设时间与大量安装在互联网上的多个客户端中的多个代理程序进行通讯，利用客户端/服务器技术，主控程序在几秒钟内激活成百上千次代理程序使其发动攻击，从而可成倍地提高DOS攻击的威力。

按攻击所针对的网络层次可以把DDOS攻击分为网络层DDOS（Net-DDOS）攻击和App-DDOS攻击。其中Net-DDOS攻击主要是利用了现有的低层（包括IP层和TCP层）协议的漏洞来发动攻击，典型的攻击方式包括使用伪造IP地址的攻击节点向目标主机发送大量攻击分组，例如：TCP（Transmission Control Protocol，传输控制协议）分组、ICMP（InternetControl Messages Protocol，因特网信报控制协议）分组、UDP（User Datagram Protocol，用户数据报协议）分组等，利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表而消耗非常多的CPU（Central Processing Unit，中央处理器）和内存资源，最终因为堆栈溢出而导致系统崩溃无法为正常用户提供服务。网络层DDOS攻击基于其协议特性，在不需要与服务器建立可靠连接的情况下发送大量数据包，使得在攻击溯源方面存在较大的难度。目前业界一般的方法是借助与运营商的合作，在城域网、骨干网的出口路由器上进行流量的来源追踪，以确定出攻击源的真假。然而，运营商的路由设备一般采用基于流的统计计数方式，这种统计计数方式对于大流量的DDOS统计有效，但是对于分布式的小流量DDOS攻击则无效，无法有效追踪到小流量DDOS攻击的真实攻击来源。

发明内容

有鉴于此，本发明提供一种网络层DDOS攻击源识别方法、装置及系统，可快速而有效地识别网络层DDOS攻击源的真伪。