[发明专利]一种伪造IP攻击行为的检测方法、系统及相关组件

权利要求书

1.一种伪造IP攻击行为的检测方法，其特征在于，包括：

当检测到IP数据包为待认证数据包时，判断所述IP数据包的源IP是否符合认证条件；

若是，则确定所述源IP发送数据包的发送次数；

当所述发送次数大于预设次数时，通过TCP认证和/或DNS认证的方式检测是否存在伪造IP攻击行为；

其中，判断所述IP数据包的源IP是否符合认证条件包括：

判断所述IP数据包的源IP是否在真实IP hash表中，得到第一判断结果；

判断所述真实IP hash表的数量是否小于最大预设值，得到第二判断结果；

判断所述第一判断结果和所述第二判断结果是否均为是；若是，则判定所述源IP符合所述认证条件；若否，则判定所述源IP不符合所述认证条件。

2.根据权利要求1所述检测方法，其特征在于，还包括：

当所述发送次数小于或等于所述预设次数时，丢弃所述源IP对应的数据包。

3.根据权利要求1所述检测方法，其特征在于，通过TCP认证和/或DNS认证的方式检测是否存在所述伪造IP攻击行为包括：

根据所述IP数据包对应的TCP协议的SYN包构造预设序号的SYN-ACK数据包，并丢弃所述SYN包；

根据所述数据包对应的DNS请求包构造目标IP的响应包和/或带预设标记的DNS响应包，并丢弃所述DNS请求包；

判断是否检测到所述预设序号的RST包和/或客户端预设操作；若否，则判定存在所述伪造IP攻击行为；其中，所述客户端预设操作包括所述目标IP对应的访问操作和/或所述预设标记对应的DNS重查操作。

4.根据权利要求1所述检测方法，其特征在于，当所述IP数据包的源IP不符合认证条件时，还包括：

统计所述源IP的流量特性数据；其中，所述流量特性数据包括上下行流量数据包数量，连接性数据包数量和数据包总数量；

根据所述流量特性数据分别计算第一比值和第二比值；其中，所述第一比值为所述连接性数据包数量与所述数据包总数量之比，所述第二比值为所述上下行流量数据包数量与所述数据包总数量之比；

判断是否所述第一比值小于第一预设值且第二比值小于第二预设值；若否，则判定检测到DDoS攻击行为。

5.根据权利要求4所述检测方法，其特征在于，所述第一比值包括TCP协议的delSYN包、SYN-ACK包、FIN包和RST包分别与所述数据包总数量之比；

相应的，所述第二比值包括UDP协议和ICMP协议的上行流量数据包数量与所述数据包总数量之比，以及所述UDP协议和所述ICMP协议的下行流量数据包数量与所述数据包总数量之比。

6.根据权利要求1所述检测方法，其特征在于，在判断所述IP数据包的源IP是否符合认证条件之前，还包括：

接收所述IP数据包，并判断所述IP数据包是否为认证数据包；其中，所述认证数据包为包括TCP协议和DNS协议且携带有预设特定序号的TCP数据包的数据包；

若是，则将所述IP数据包对应的源IP加入真实IP hash表；

若否，则将所述IP数据包设置为所述待认证数据包，并判定检测到所述待认证数据包。

7.一种伪造IP攻击行为的检测系统，其特征在于，包括：

认证条件判断模块，用于当检测到IP数据包为待认证数据包时，判断所述IP数据包的源IP是否符合认证条件；

首包确定模块，用于当所述IP数据包的源IP符合认证条件是，确定所述源IP发送数据包的发送次数；

伪造IP攻击检测模块，用于当所述发送次数大于预设次数时，通过TCP认证和/或DNS认证的方式检测是否存在伪造IP攻击行为；

其中，所述认证条件判断模块判断所述IP数据包的源IP是否符合认证条件的过程包括：判断所述IP数据包的源IP是否在真实IP hash表中，得到第一判断结果；判断所述真实IP hash表的数量是否小于最大预设值，得到第二判断结果；判断所述第一判断结果和所述第二判断结果是否均为是；若是，则判定所述源IP符合所述认证条件；若否，则判定所述源IP不符合所述认证条件。