網(wǎng)絡(luò)攻擊檢測方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)攻擊檢測方法及節(jié)點(diǎn),所述方法包括:進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?�,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路徑的檢測路徑集合;通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�;所述第一檢測路徑為所述檢測路徑集合中的一條所述檢測路徑;接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包����;依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息,獲取當(dāng)前檢測參數(shù)�����;及依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)���,確定所述第一檢測路徑是否有遭受網(wǎng)絡(luò)攻擊�。
【專利說明】網(wǎng)絡(luò)攻擊檢測方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域的攻擊檢測技術(shù)�,尤其涉及一種網(wǎng)絡(luò)攻擊檢測方法及裝置。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)異常檢測大致可分為兩種��;一種為性能異常檢測以及安全異常檢測�。其中性 能異常包括瞬間擁堵、文件服務(wù)失敗以及廣播風(fēng)暴等�。安全異常具體可包括分布式拒絕服 務(wù)DDoS攻擊;所述DDoS攻擊為堵塞網(wǎng)絡(luò)以使合法用戶無法享受網(wǎng)絡(luò)服務(wù)����。
[0003] 目前發(fā)現(xiàn)DDoS攻擊中有一種低密度多連接洪水攻擊(Target Link Flooding Attack�,LFA)��,所述LFA利用多個網(wǎng)絡(luò)節(jié)點(diǎn)(所述網(wǎng)絡(luò)節(jié)點(diǎn)可為路由器����、客戶端或服務(wù)器) 向同一目標(biāo)鏈路發(fā)送低密度的合法數(shù)據(jù)流量(日常網(wǎng)絡(luò)通信涉及的常用數(shù)據(jù)包等),進(jìn)而 導(dǎo)致該段鏈路堵塞���;通過該鏈路進(jìn)行連接的網(wǎng)絡(luò)節(jié)點(diǎn),將無法正常進(jìn)行網(wǎng)絡(luò)通信?��,F(xiàn)有常規(guī) 的檢測方法���,通常是檢測數(shù)據(jù)流是否是指定的通信格式等方式來判斷數(shù)據(jù)流是否合法,進(jìn) 而確定出是否遭受到攻擊���;而LFA采用的合法數(shù)據(jù)流�����,常規(guī)方法是無法檢測出來的�����。
[0004] 目前提出了一種基于路由檢測的方法進(jìn)行所述LFA的檢測���,通過檢測每一個路由 節(jié)點(diǎn)的數(shù)據(jù)流量是否異常來�����,確定是否遭受了 LFA ;這種檢測方法需要在每一個路由器上 安裝檢測其數(shù)據(jù)流量的檢測應(yīng)用�����。這種檢測方法的可實現(xiàn)性低效果有限����,原因是:
[0005] 通常遭受LFA的目標(biāo)鏈路是不固定的����,遭受攻擊的目標(biāo)路徑很可能在防護(hù)區(qū)域之 夕卜,顯然難以在在防護(hù)區(qū)域內(nèi)檢測到遭受LFA攻擊的目標(biāo)鏈路�����,同時單純從某一個或某幾 個遭受攻擊的路徑檢測有很難發(fā)現(xiàn)異常����,因為攻擊的流量是合法數(shù)據(jù)流且是間歇性的��,而 大量路由節(jié)點(diǎn)來配合檢測又是難以實現(xiàn)的����;故這種基于路由檢測的方法���,無法立即應(yīng)用網(wǎng) 絡(luò)中進(jìn)行LFA的檢測�����,且應(yīng)用前景堪憂。
[0006] 顯然提出一種能有效檢測出這種新型的LFA并能廣泛應(yīng)用于現(xiàn)有網(wǎng)絡(luò)的檢測方 法是現(xiàn)有技術(shù)亟待解決的問題����。
【發(fā)明內(nèi)容】
[0007] 有鑒于此,本發(fā)明實施例期望提供一種網(wǎng)絡(luò)攻擊檢測方法及裝置��,以簡便地精確 地檢測出網(wǎng)絡(luò)攻擊��。
[0008] 為達(dá)到上述目的�,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0009] 本發(fā)明實施例第一方面提供一種網(wǎng)絡(luò)攻擊檢測方法����,
[0010] 所述方法包括:
[0011] 進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?�,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路徑的檢測路 徑集合����;
[0012] 通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;所述第一檢測路徑為所述檢測路 徑集合中的一條所述檢測路徑���;
[0013] 接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包�����;
[0014] 依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息����,獲取當(dāng)前檢測 參數(shù)���;
[0015] 依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)�����,確定所述第一檢測路徑是否有遭受網(wǎng)絡(luò) 攻擊��。
[0016] 優(yōu)選地��,
[0017] 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號���;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù) 據(jù)包的序列號和應(yīng)答號生成的序列號和應(yīng)答號��;
[0018] 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息����,獲取當(dāng)前 檢測參數(shù)��,包括:
[0019] 依據(jù)所述檢測數(shù)據(jù)包的序列號����、所述檢測數(shù)據(jù)包的應(yīng)答號、所述響應(yīng)數(shù)據(jù)包的序 列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�����,確定正向路徑丟包信息及逆向路徑丟包信息��;
[0020] 依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定逆向 路徑可用帶寬�����;
[0021] 依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路徑可用帶 寬����。
[0022] 優(yōu)選地,
[0023] 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�,包括:
[0024] 確定第一 TCP接收窗口值和TWP響應(yīng)數(shù)據(jù)包的報文長度MSS ;其中,所述第一 TCP 接收窗口值用于控制所述目標(biāo)節(jié)點(diǎn)返回w個報文長度為所述MSS的TWP響應(yīng)數(shù)據(jù)包��;所述 w為不小于2的正整數(shù)����;
[0025] 依據(jù)所述第一 TCP接收窗口值及所述MSS形成第一 TWP檢測數(shù)據(jù)包;
[0026] 通過所述第一檢測路徑向所述目標(biāo)節(jié)點(diǎn)發(fā)送所述第一 TWP檢測數(shù)據(jù)包����;
[0027] 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包,包括:
[0028] 接收目標(biāo)節(jié)點(diǎn)在所述第一 TWP檢測數(shù)據(jù)包觸發(fā)下返回的w個TWP響應(yīng)數(shù)據(jù)包�;
[0029] 所述依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定 逆向路徑可用帶寬,包括:
[0030] 確定第1個所述TWP響應(yīng)數(shù)據(jù)包與第w個所述TWP響應(yīng)數(shù)據(jù)包的達(dá)到時間之間的 時間間隔
[0031] 依據(jù)所述4�����、所述w及所述MSS計算檢測節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)之間的逆向路徑可用帶 寬9r�。
[0032] 優(yōu)選地,
[0033] 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�����,包括:
[0034] 按照發(fā)送先后順序形成依次包括第一 ACK包、隊個負(fù)載數(shù)據(jù)包及第二ACK包的檢 驗包隊列����;其中,所述隊為不小于1的整數(shù)���;
[0035] 通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢驗包隊列��;
[0036] 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包�,包括:
[0037] 接收所述目標(biāo)節(jié)點(diǎn)基于所述第一 ACK包反饋的第一 mRTP響應(yīng)數(shù)據(jù)包及基于所述 第二ACK包反饋的第二mRTP響應(yīng)數(shù)據(jù)包����;
[0038] 所述所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路徑可用 帶寬,包括:
[0039] 依據(jù)第一 mRTP反饋數(shù)據(jù)包及所述第二mRTP響應(yīng)數(shù)據(jù)包的達(dá)到時間確定達(dá)到時間 間隔Ga;
[0040] 依據(jù)&�����、所述隊及所述64計算檢測節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)之間的正向路徑可用帶寬0 e;
[0041] 其中�����,&為所述負(fù)載數(shù)據(jù)攜帶的數(shù)據(jù)量��。
[0042] 優(yōu)選地����,
[0043] 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包,還包括:
[0044] 在所述按照發(fā)送先后順序形成依次包括第一 ACK包����、隊個負(fù)載數(shù)據(jù)包及第二ACK 包的檢驗包隊列之前,還包括確定所述第一 ACK包的第一序列號����;所述第二ACK包的第二序 列號;
[0045] 其中�,所述第一序列號大于所述第二序列號。
[0046] 優(yōu)選地�,
[0047] 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包,包括:
[0048] 通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送n個攜帶有序列號及指定的應(yīng)答號 的RTP檢測數(shù)據(jù)包�����;所述n為不小2的正整數(shù)����;
[0049] 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包,包括:
[0050] 接收所述目標(biāo)節(jié)點(diǎn)在n個所述RTP檢測數(shù)據(jù)包觸發(fā)下��,依據(jù)所述序列號以及應(yīng)答 號返回的包括序列號及應(yīng)答號的RTP響應(yīng)數(shù)據(jù)包�;
[0051] 所述依據(jù)所述檢測數(shù)據(jù)包的序列號、所述檢測數(shù)據(jù)包的應(yīng)答號、所述響應(yīng)數(shù)據(jù)包 的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號���,確定正向路徑丟包信息及逆向路徑丟包信息�,還包 括:
[0052] 依據(jù)所述RTP檢測數(shù)據(jù)包的序列號����、所述RTP檢測數(shù)據(jù)包的應(yīng)答號、所述RTP響應(yīng) 數(shù)據(jù)包的序列號所述RTP響應(yīng)數(shù)據(jù)包的應(yīng)答號�����,確定正向路徑RTP丟包率及逆向路徑RTP 丟包率����。
[0053] 優(yōu)選地,
[0054] 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息�����,獲取當(dāng)前 檢測參數(shù)�����,還包括:
[0055] 依據(jù)所述檢測數(shù)據(jù)包的發(fā)送時間及所述響應(yīng)數(shù)據(jù)包的達(dá)到時間����,確定往返時間 RTT ;
[0056] 依據(jù)第一指定時間內(nèi)至少兩次所述檢測數(shù)據(jù)包的發(fā)送時間及對應(yīng)的所述響應(yīng)數(shù) 據(jù)包的達(dá)到時間���,確定所述往往時間RTT的波動�。
[0057] 優(yōu)選地�����,
[0058] 所述檢測數(shù)據(jù)包及所述響應(yīng)數(shù)據(jù)包均攜帶有序列號及應(yīng)答號�;
[0059] 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息,獲取當(dāng)前 檢測參數(shù)���,還包括:
[0060] 依據(jù)所述檢測數(shù)據(jù)包的序列號����、所述檢測數(shù)據(jù)包的應(yīng)答號�����、所述響應(yīng)數(shù)據(jù)包的序 列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�����,確定正向路徑亂序信息;
[0061] 依據(jù)所述響應(yīng)數(shù)據(jù)包的達(dá)到時間確定逆向路徑亂序信息���。
[0062] 優(yōu)選地�����,
[0063] 所述方法還包括:
[0064] 在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時����,逐跳定位所述第一檢測路徑中遭受 所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路����。
[0065] 優(yōu)選地,
[0066] 所述在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時���,逐跳定位所述第一檢測路徑中 遭受所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路��,包括:
[0067] 確定各第一檢驗包中的生命周期TTL值����;第i個發(fā)送的第一檢驗包的TTL值為i�, 任意兩個所述第一檢驗包的TTL值均不同;所述i為不大于所述h的正整數(shù)�����;所述h為所述 第一檢測路徑包括的鏈路總跳數(shù);每經(jīng)過一個節(jié)點(diǎn)所述TTL值減1 ;
[0068] 依據(jù)所述TTL值�����,形成h個攜帶有生命周期TTL值的第一檢驗包�;
[0069] 發(fā)送所述第一檢驗包���;其中�,
[0070] 接收所述檢測鏈路中各節(jié)點(diǎn)在所述第一檢驗包的TTL值減為0時���,返回的第一反 饋包�;
[0071] 依據(jù)所述第一反饋包���,定位遭受所述網(wǎng)絡(luò)攻擊的待測潛在鏈路�����;
[0072] 依據(jù)至少經(jīng)過部分所述待測潛在鏈路的第二檢測路徑的檢測結(jié)果�,定位遭受所述 網(wǎng)絡(luò)攻擊的目標(biāo)鏈路�;
[0073] 其中����,所述第二檢測路徑是所述檢測路徑集合中不同于所述第一檢測路徑的一條 檢測路徑���。
[0074] 本發(fā)明實施例第二方面提供一種網(wǎng)絡(luò)攻擊檢測節(jié)點(diǎn)���,
[0075] 所述節(jié)點(diǎn)包括:
[0076] 分析單元,用于進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?��,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢 測路徑的檢測路徑集合����;
[0077] 發(fā)送單元����,用于通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;所述第一檢測路 徑為所述檢測路徑集合中的一條所述檢測路徑����;
[0078] 接收單元,用于接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包���;
[0079] 獲取單元��,用于依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信 息����,獲取當(dāng)前檢測參數(shù);
[0080] 確定單元�����,用于依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)��,確定所述第一檢測路徑 是否有遭受網(wǎng)絡(luò)攻擊��。
[0081] 優(yōu)選地��,
[0082] 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號�����;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù) 據(jù)包的序列號和應(yīng)答號生成的序列號和應(yīng)答號��;
[0083] 所述獲取單元�����,包括:
[0084] 第一獲取模塊���,用于依據(jù)所述檢測數(shù)據(jù)包的序列號��、所述檢測數(shù)據(jù)包的應(yīng)答號����、所 述響應(yīng)數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�,確定正向路徑丟包信息及逆向路徑丟 包信息;
[0085] 第二獲取模塊����,用于依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包 的數(shù)據(jù)量確定逆向路徑可用帶寬;
[0086] 第三獲取模塊��,用于依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確 定正向路徑可用帶寬���。
[0087] 優(yōu)選地�����,
[0088] 所述發(fā)送單元包括:
[0089] 第一確定模塊����,用于確定第一 TCP接收窗口值和TWP響應(yīng)數(shù)據(jù)包的報文長度MSS ; 其中,所述第一 TCP接收窗口值用于控制所述目標(biāo)節(jié)點(diǎn)返回w個報文長度為所述MSS的TWP 響應(yīng)數(shù)據(jù)包�;所述w為不小于2的正整數(shù);
[0090] 第一形成模塊��,用于依據(jù)所述第一 TCP接收窗口值及所述MSS形成第一 TWP檢測 數(shù)據(jù)包�;
[0091] 發(fā)送模塊,用于通過所述第一檢測路徑向所述目標(biāo)節(jié)點(diǎn)發(fā)送所述第一 TWP檢測數(shù) 據(jù)包�����;
[0092] 所述接收單元���,具體用于接收目標(biāo)節(jié)點(diǎn)在所述第一 TWP檢測數(shù)據(jù)包觸發(fā)下返回的 w個TWP響應(yīng)數(shù)據(jù)包���;
[0093] 所述第二獲取模塊���,具體用于確定第1個所述TWP響應(yīng)數(shù)據(jù)包與第w個所述TWP 響應(yīng)數(shù)據(jù)包的達(dá)到時間之間的時間間隔及依據(jù)所述Gp所述w及所述MSS計算檢測節(jié)點(diǎn) 與目標(biāo)節(jié)點(diǎn)之間的逆向路徑可用帶寬L�。
[0094] 優(yōu)選地����,
[0095] 所述發(fā)送單元,包括:
[0096] 第二形成模塊��,用于按照發(fā)送先后順序形成依次包括第一 ACK包、隊個負(fù)載數(shù)據(jù)包 及第二ACK包的檢驗包隊列��;其中�,所述隊為不小于1的整數(shù);
[0097] 發(fā)送模塊�����,用于通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢驗包隊列�;
[0098] 所述接收單元,具體用于接收所述目標(biāo)節(jié)點(diǎn)基于所述第一 ACK包反饋的第一 mRTP 響應(yīng)數(shù)據(jù)包及基于所述第二ACK包反饋的第二mRTP響應(yīng)數(shù)據(jù)包�����;
[0099] 所述第三獲取模塊����,具體用于依據(jù)第一 mRTP反饋數(shù)據(jù)包及所述第二mRTP響應(yīng)數(shù) 據(jù)包的達(dá)到時間確定達(dá)到時間間隔GA;及依據(jù)公式S p所述隊及所述G A計算檢測節(jié)點(diǎn)與目 標(biāo)節(jié)點(diǎn)之間的正向路徑可用帶寬ee;
[0100] 其中,&為所述負(fù)載數(shù)據(jù)攜帶的數(shù)據(jù)量��。
[0101] 優(yōu)選地����,
[0102] 所述發(fā)送單元,具體用于通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送n個攜帶有 序列號及指定的應(yīng)答號的RTP檢測數(shù)據(jù)包�;所述n為不小2的正整數(shù)�;
[0103] 所述接收單元�����,具體用于接收所述目標(biāo)節(jié)點(diǎn)在n個所述RTP檢測數(shù)據(jù)包觸發(fā)下�����,依 據(jù)所述序列號以及應(yīng)答號返回的包括序列號及應(yīng)答號的RTP響應(yīng)數(shù)據(jù)包��;
[0104] 所述獲取單元�����,具體用于依據(jù)所述RTP檢測數(shù)據(jù)包的序列號�、所述RTP檢測數(shù)據(jù)包 的應(yīng)答號、所述RTP響應(yīng)數(shù)據(jù)包的序列號所述RTP響應(yīng)數(shù)據(jù)包的應(yīng)答號��,確定正向路徑RTP 丟包率及逆向路徑RTP丟包率�。
[0105] 優(yōu)選地���,
[0106] 所述獲取單元���,用于依據(jù)所述檢測數(shù)據(jù)包的發(fā)送時間及所述響應(yīng)數(shù)據(jù)包的達(dá)到時 間,確定往返時間RTT ;及依據(jù)第一指定時間內(nèi)至少兩次所述檢測數(shù)據(jù)包的發(fā)送時間及對 應(yīng)的所述響應(yīng)數(shù)據(jù)包的達(dá)到時間,確定所述往往時間RTT的波動����。
[0107] 優(yōu)選地,
[0108] 所述檢測數(shù)據(jù)包及所述響應(yīng)數(shù)據(jù)包均攜帶有序列號及應(yīng)答號���;
[0109] 所述獲取單元�,還用于依據(jù)所述檢測數(shù)據(jù)包的序列號����、所述檢測數(shù)據(jù)包的應(yīng)答號、 所述響應(yīng)數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號���,確定正向路徑亂序信息��;及依據(jù)所 述響應(yīng)數(shù)據(jù)包的達(dá)到時間確定逆向路徑亂序信息���。
[0110] 優(yōu)選地,
[0111] 所述節(jié)點(diǎn)還包括:
[0112] 定位單元����,還用于在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時,逐跳定位所述第 一檢測路徑中遭受所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路�。
[0113] 優(yōu)選地����,
[0114] 所述定位單元��,包括:
[0115] 第三確定模塊��,用于確定各第一檢驗包中的生命周期TTL值�����;第i個發(fā)送的第一檢 驗包的TTL值為i����,任意兩個所述第一檢驗包的TTL值均不同;所述i為不大于所述h的正 整數(shù)�;所述h為所述第一檢測路徑包括的鏈路總跳數(shù);每經(jīng)過一個節(jié)點(diǎn)所述TTL值減1 ;
[0116] 第三形成模塊��,用于依據(jù)所述TTL值��,形成h個攜帶有生命周期TTL值的第一檢驗 包���;
[0117] 所述發(fā)送單元,還用于發(fā)送所述第一檢驗包�����;其中,
[0118] 所述接收單元��,還用于接收所述檢測鏈路中各節(jié)點(diǎn)在所述第一檢驗包的TTL值減 為0時�����,返回的第一反饋包���;
[0119] 所述定為單元還包括:
[0120] 定位模塊���,用于依據(jù)至少經(jīng)過部分所述待測潛在鏈路的第二檢測路徑的檢測結(jié) 果,定位遭受所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路�����;
[0121] 其中��,所述第二檢測路徑是所述檢測路徑集合中不同于所述第一檢測路徑的一條 檢測路徑����。
[0122] 優(yōu)選地,
[0123] 所述第三確定模塊���,還用于確定各第二檢驗包中的生命周期TTL值����;第i個發(fā)送的 第二檢驗包的TTL值為h-i,任意兩個所述第二檢驗包的TTL值均不同�;所述i為0或小于 所述h的正整數(shù);
[0124] 所述第三形成模塊����,還用于依據(jù)所述TTL值形成h個第二檢驗包且形成至少一個 負(fù)載數(shù)據(jù)包;
[0125] 所述發(fā)送單元�,還用于在發(fā)送所述第一檢驗包之后,還依次發(fā)送至少一個負(fù)載數(shù) 據(jù)包及所述第二檢驗包�����;
[0126] 所述接收單元�,還用于接收所述檢測鏈路中各節(jié)點(diǎn)在所述第二檢驗包的TTL值減 為0時,返回的第二反饋包����;
[0127] 所述定位單元還包括:
[0128] 第一計算模塊,用于依據(jù)6」及Qj計算所述第一檢測路徑中第j跳鏈路的可用帶寬 e j;所述j為不大于所述h的正整數(shù)���;
[0129] 其中����,所述為所述TTL值為j的第一檢驗包觸發(fā)的第一反饋包的達(dá)到時間與所 述TTL值為j的第二檢驗包觸發(fā)的第二反饋包的達(dá)到時間的時間差����;
[0130] 所述%為所述TTL值為j的第一檢驗包與第二檢驗包之間各數(shù)據(jù)包的數(shù)據(jù)量總 和;
[0131] 所述定位模塊��,還用于依據(jù)所述第一反饋包及所述0」����,定位遭受所述網(wǎng)絡(luò)攻擊的 待測潛在鏈路。
[0132] 本發(fā)明實施例網(wǎng)絡(luò)攻擊檢測方法及裝置���,通過確定檢測路徑��、由檢測節(jié)點(diǎn)向目標(biāo) 節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包及從目標(biāo)節(jié)點(diǎn)接收響應(yīng)數(shù)據(jù)包���,依據(jù)接收響應(yīng)數(shù)據(jù)包的接收參數(shù)及響 應(yīng)數(shù)據(jù)包攜帶的內(nèi)容來確定檢測鏈路是否有遭受網(wǎng)絡(luò)攻擊;相對于現(xiàn)有的采用監(jiān)控各路由 節(jié)點(diǎn)的流量的方法�,不用在每一個路由節(jié)點(diǎn)都安裝檢測流量的應(yīng)用具有使用性強(qiáng)的優(yōu)點(diǎn), 從而打破了因通信節(jié)點(diǎn)的歸屬性導(dǎo)致的檢測范圍局限的問題��,相對于現(xiàn)有的基于數(shù)據(jù)包的 檢測方法�,可以檢測以合法數(shù)據(jù)流進(jìn)行的網(wǎng)絡(luò)攻擊�,具有實現(xiàn)簡便��、適用范圍廣�����、實用性強(qiáng) 的優(yōu)點(diǎn)�����;且實驗證明檢測精確度高�。
【專利附圖】
【附圖說明】
[0133] 圖1為本發(fā)明實施例所述的網(wǎng)絡(luò)攻擊檢測方法的流程示意圖之一;
[0134] 圖2為本發(fā)明實施例所述的獲取當(dāng)前檢測參數(shù)的流程示意圖之一��;
[0135] 圖3為本發(fā)明實施例所述的發(fā)送檢測數(shù)據(jù)包的流程示意圖之一���;
[0136] 圖4a為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間數(shù)據(jù)包收發(fā)示意圖之一�;
[0137] 圖4b為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間數(shù)據(jù)包收發(fā)示意圖之二����;
[0138] 圖4c為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間數(shù)據(jù)包收發(fā)示意圖之三;
[0139] 圖5為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)間數(shù)據(jù)包收發(fā)示意圖之四���;
[0140] 圖6a為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)建立連接的示意圖之一�����;
[0141] 圖6b為本發(fā)明實施例所述檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)建立連接的示意圖之二����;
[0142] 圖7為本發(fā)明實施例所述的獲取當(dāng)前檢測參數(shù)的流程示意圖之二�;
[0143] 圖8為本發(fā)明實施例所述的一種網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
[0144] 圖9a為本發(fā)明實施例所述定位第一檢測路徑中遭受網(wǎng)絡(luò)攻擊的目標(biāo)鏈路的流程 示意圖��;
[0145] 圖9b為本發(fā)明實施例所述的第j跳鏈路的可用帶寬%的示意圖之一���;
[0146] 圖9c為本發(fā)明實施例所述的第j跳鏈路的可用帶寬%的示意圖之二�;
[0147] 圖10為本發(fā)明實施例所述的確定第一檢測路徑是否有遭受網(wǎng)絡(luò)攻擊的流程示意 圖��;
[0148] 圖11為本發(fā)明實施例所述的獲取當(dāng)前檢測參數(shù)的流程示意圖之三����;
[0149] 圖12為本發(fā)明實施例所述的檢測節(jié)點(diǎn)的結(jié)構(gòu)示意圖之一;
[0150] 圖13為本發(fā)明實施例所述的獲取單元的結(jié)構(gòu)示意圖�����;
[0151] 圖14為本發(fā)明實施例所述的發(fā)送單元的結(jié)構(gòu)示意圖;
[0152] 圖15為本發(fā)明實施例所述的檢測節(jié)點(diǎn)的結(jié)構(gòu)示意圖之二���;
[0153] 圖16為本發(fā)明實施例所述的檢測節(jié)點(diǎn)的結(jié)構(gòu)示意圖之三�����;
[0154] 圖17為本發(fā)明實施例所述的定位單元的結(jié)構(gòu)示意圖�;
[0155] 圖18為本發(fā)明實施例所述的第一種網(wǎng)絡(luò)結(jié)構(gòu)示意圖�����;
[0156] 圖19為本發(fā)明實施例所述的第二種網(wǎng)絡(luò)結(jié)構(gòu)示意圖�;
[0157] 圖20為本發(fā)明實施例所述的第三種網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
[0158] 圖21a至圖21d為本發(fā)明一個示例中檢測參數(shù)的示意圖�����;
[0159] 圖22a至圖22d為本發(fā)明另一個示例中檢測參數(shù)的示意圖��;
[0160] 圖23為本發(fā)明一個示例中可用帶寬的累積分布函數(shù)���;
[0161] 圖24a至圖24d為本發(fā)明一個示例中檢測參數(shù)的示意圖����;
[0162] 圖25為本發(fā)明另一個示例中可用帶寬的累積分布函數(shù);
[0163] 圖26為本發(fā)明示例所述的檢測節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包的示意圖����;
[0164] 圖27為本發(fā)明示例所述的檢測節(jié)點(diǎn)的結(jié)構(gòu)示意圖;
[0165] 圖28為本發(fā)明示例所述的網(wǎng)絡(luò)攻擊檢測方法的流程示意圖���。
【具體實施方式】
[0166] 以下結(jié)合說明書附圖及具體實施例對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)闡述��。
[0167] 方法實施例一:
[0168] 如圖1所示�,本實施例提供一種網(wǎng)絡(luò)攻擊檢測方法���,所述方法包括:
[0169] 步驟S110 :進(jìn)行網(wǎng)絡(luò)拓?fù)浞治觯罁?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路 徑的檢測路徑集合����;
[0170] 步驟S120 :通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;所述第一檢測路徑為 所述檢測路徑集合中的一條所述檢測路徑���;
[0171] 步驟S130 :接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包��;
[0172] 步驟S140 :依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息����,獲 取當(dāng)前檢測參數(shù);
[0173] 步驟S150 :依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)���,確定所述第一檢測路徑是否 有遭受網(wǎng)絡(luò)攻擊���。
[0174] 網(wǎng)絡(luò)攻擊有多種,本實施例所述的方法尤其適用于以堵塞網(wǎng)絡(luò)鏈路造成網(wǎng)絡(luò)癱瘓 的網(wǎng)絡(luò)攻擊��;具體如DDoS攻擊�,且尤其適用于所述DDoS攻擊中的低密度多連接洪水攻擊 (Target Link Flooding Attack, LFA)。所述LFA為利用多個網(wǎng)絡(luò)節(jié)點(diǎn)(所述網(wǎng)絡(luò)節(jié)點(diǎn)可 為路由器�����、客戶端或服務(wù)器)向同一目標(biāo)鏈路發(fā)送低密度的合法數(shù)據(jù)流量(日常網(wǎng)絡(luò)通信 涉及的常用數(shù)據(jù)包等)�����,進(jìn)而導(dǎo)致該段鏈路堵塞����;通過該鏈路進(jìn)行連接的網(wǎng)絡(luò)節(jié)點(diǎn),將無法 正常進(jìn)行網(wǎng)絡(luò)通信?���,F(xiàn)有常規(guī)的檢測方法���,通常是檢測數(shù)據(jù)流是否是指定的通信格式等方 式來判斷數(shù)據(jù)流是否合法,進(jìn)而確定出是否遭受到攻擊��;而LFA采用的是合法數(shù)據(jù)流��,常規(guī) 方法是無法檢測出來的�����。
[0175] 綜上所述�,LFA具有以下特點(diǎn):
[0176] 一次LFA將會形成大量的合法數(shù)據(jù)流對目標(biāo)鏈路進(jìn)行攻擊,每一個數(shù)據(jù)流連接都 是基于正常的網(wǎng)絡(luò)數(shù)據(jù)形成的���,且每一個數(shù)據(jù)流的數(shù)據(jù)量都是有限的,因此對單個數(shù)據(jù)流 檢測�����,會發(fā)現(xiàn)每一個數(shù)據(jù)流都是正常的�����。但是當(dāng)大量數(shù)據(jù)流通過攻擊同一目標(biāo)鏈路中的同 一節(jié)點(diǎn)時�����,就會在在該節(jié)點(diǎn)產(chǎn)生大量流量造成擁塞。此外����,LFA通常還會攻擊不同的節(jié)點(diǎn)從 而改變遭受攻擊的目標(biāo)鏈路,這導(dǎo)致在固定的鏈路上設(shè)置檢測應(yīng)用來進(jìn)行LFA檢測��,檢測 效果差且檢測成本差等問題�����。
[0177] LFA還具有以下特點(diǎn):
[0178] 1)通過攻擊����,在網(wǎng)絡(luò)中的重要鏈路引起嚴(yán)重的網(wǎng)絡(luò)擁塞,以至于合法客戶因所述 網(wǎng)絡(luò)擁塞無法獲得網(wǎng)絡(luò)服務(wù)�����;若LFA發(fā)生在不重要的鏈路���,可能無法達(dá)到使客戶端無法獲 得網(wǎng)絡(luò)服務(wù)的目的�。具體如校園網(wǎng)A與外網(wǎng)進(jìn)行連接的鏈路有3條���;其中���,鏈路A承載了 校園網(wǎng)a正常情況下的數(shù)據(jù)流量的80% ;鏈路B承載了校園網(wǎng)a正常情況下的數(shù)據(jù)流量的 15% ;鏈路C承載了校園網(wǎng)a正常情況下的數(shù)據(jù)流量5% ;若此時LFA攻擊鏈路C使鏈路 C形成網(wǎng)絡(luò)擁堵�,顯然對校園網(wǎng)的正常運(yùn)行沒有多大的影響�,無法達(dá)到使校園網(wǎng)內(nèi)大部分客 戶端無法獲得網(wǎng)絡(luò)服務(wù)的目的。
[0179] 2) -次LFA的持續(xù)時間會比傳統(tǒng)的分布式DDoS的持續(xù)時間短�,但持續(xù)時間也不能 太短,否則將LFA不會造成嚴(yán)重的網(wǎng)絡(luò)擁堵����。
[0180] 3)同一目標(biāo)鏈路將遭受到多次LFA,否則LFA無法持續(xù)造成網(wǎng)絡(luò)擁堵���。
[0181] 利用本實施例所述方法����,可針對LAF對網(wǎng)絡(luò)攻擊的特點(diǎn)���,對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分 析,選擇出可能遭受LFA的目標(biāo)鏈路形成第一檢測路徑��。具體如�,通常選擇覆蓋承載大量數(shù) 據(jù)流量的鏈路且穩(wěn)定連接目標(biāo)鏈路的第一檢測路徑形成所述第一檢測路徑集合�����。
[0182] 所述第一檢測路徑的一段連接的是檢測節(jié)點(diǎn)����,另一端連接的是目標(biāo)節(jié)點(diǎn)�;通常所 述目標(biāo)節(jié)點(diǎn)可以選用公共服務(wù)器;所述目標(biāo)節(jié)點(diǎn)上存儲的數(shù)據(jù)足以形成響應(yīng)數(shù)據(jù)包�;具體 如進(jìn)行一次檢測,所述目標(biāo)節(jié)點(diǎn)需要向檢測節(jié)點(diǎn)發(fā)送20個數(shù)據(jù)包��,每一個數(shù)據(jù)包數(shù)據(jù)部分 的數(shù)據(jù)量大小為lOOObytes ;則優(yōu)選的目標(biāo)節(jié)點(diǎn)為:至少存儲有20000bytes的數(shù)據(jù)的節(jié)點(diǎn)����。
[0183] 第一:在造成網(wǎng)絡(luò)鏈路堵塞或網(wǎng)路癱瘓的網(wǎng)絡(luò)攻擊中,需要造成于防護(hù)區(qū)域與網(wǎng) 絡(luò)連接由于鏈路的擁堵而中斷���,若選擇不重要的鏈路����,即便造成了網(wǎng)絡(luò)擁堵也僅是輕微的 網(wǎng)絡(luò)擁堵現(xiàn)象��,而不能導(dǎo)致防衛(wèi)區(qū)域與外界網(wǎng)絡(luò)的中斷,故網(wǎng)絡(luò)攻擊的目標(biāo)鏈路應(yīng)該是防 護(hù)區(qū)域連接到網(wǎng)絡(luò)的重要鏈路����。具體怎樣的鏈路才是重要鏈路,通常為該段鏈路的連接率 及數(shù)據(jù)流量來確定是否為重要鏈路�。
[0184] 步驟S120中由檢測節(jié)點(diǎn)通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;所述檢 測數(shù)據(jù)包為采用TCP(Transmission Control Protocol)數(shù)據(jù)包�����;所述TCP數(shù)據(jù)包的包頭中 設(shè)有序列號(Sequency Number)以及應(yīng)答號(Achnowledge Number)��。
[0185] 所述序列號為當(dāng)前發(fā)送的數(shù)據(jù)包的的起始字節(jié)的序號�;所述應(yīng)答號為接收端期待 發(fā)送端發(fā)送的下一數(shù)據(jù)包的起始字節(jié)的編號。
[0186] 所述序列號可以簡寫成SEQ���,當(dāng)節(jié)點(diǎn)A需要與節(jié)點(diǎn)B通信時�,節(jié)點(diǎn)A向節(jié)點(diǎn)B發(fā)送 一個包含序列號的數(shù)據(jù)包�,節(jié)點(diǎn)B接收到所述數(shù)據(jù)包后也向節(jié)點(diǎn)A發(fā)送一個包含序列號的 數(shù)據(jù)包;這樣節(jié)點(diǎn)A和節(jié)點(diǎn)B各自按照自己的序列號開始互相通信�。
[0187] 所述應(yīng)答號為在握手階段,確認(rèn)序號將發(fā)送的序號加1作為回答��,確認(rèn)收到對方 的數(shù)據(jù)包同時發(fā)送對應(yīng)的數(shù)據(jù)包��;在數(shù)據(jù)傳輸階段�����,應(yīng)答號將發(fā)送方的序號加發(fā)送的數(shù)據(jù) 長度作為回答����,表示接收到這些數(shù)據(jù)。
[0188] 在具體實現(xiàn)時�����,所述檢測集合中的不同檢測路徑都將進(jìn)行檢測數(shù)據(jù)包及響應(yīng)數(shù)據(jù) 包的收發(fā)����,以對每一條檢測路徑都進(jìn)行上述檢測。
[0189] 所述目標(biāo)節(jié)點(diǎn)在接收都所述檢測數(shù)據(jù)包之后�,在所述檢測數(shù)據(jù)包的觸發(fā)下,將返 回響應(yīng)數(shù)據(jù)包���;故在步驟S130中�,檢測節(jié)點(diǎn)將接收所述響應(yīng)數(shù)據(jù)包�����;并將測量接收所述響 應(yīng)數(shù)據(jù)包的接收參數(shù),具體達(dá)到時間�����;多個響應(yīng)數(shù)據(jù)包達(dá)到時間間隔���;響應(yīng)數(shù)據(jù)包發(fā)送時 間與對應(yīng)的檢測數(shù)據(jù)包發(fā)送時間之間的時間間隔等參數(shù)�。依據(jù)當(dāng)前是否有響應(yīng)數(shù)據(jù)返回�, 可以確定所述第一檢測路徑是否能收發(fā)數(shù)據(jù)包;依據(jù)響應(yīng)數(shù)據(jù)包返回的數(shù)目����,可以確定是 否出現(xiàn)丟包現(xiàn)象;依據(jù)響應(yīng)數(shù)據(jù)包返回的時間可以確定是否出現(xiàn)傳輸延時���。而這些信息都 將從不同的側(cè)面反映出第一檢測路徑當(dāng)前的網(wǎng)絡(luò)狀況�;若遭受了網(wǎng)絡(luò)攻擊可能將導(dǎo)致檢測 數(shù)據(jù)包無法達(dá)到目標(biāo)節(jié)點(diǎn)�����;響應(yīng)數(shù)據(jù)包無法返回檢測節(jié)點(diǎn)�;傳輸延時比平常大以及丟包顯 現(xiàn)比平常嚴(yán)重等問題。
[0190] 故在本實施例的步驟S150中����,依據(jù)當(dāng)前檢測參數(shù)與歷史檢測數(shù)據(jù)�����,來確定第一檢 測路徑是否有遭受網(wǎng)絡(luò)攻擊。具體如何確定�,可以通過對所述當(dāng)前檢測參數(shù)和歷史檢測數(shù) 據(jù),依據(jù)對比結(jié)果來確定�;還可以將所述檢測數(shù)據(jù)和歷史檢測數(shù)據(jù)轉(zhuǎn)換成向量或矩陣等矢 量,通過計算矢量之間的距離來確定��;具體的實現(xiàn)方法有多種��,在此就不再做進(jìn)一步詳細(xì)的 闡述了���。
[0191] 本實施例中提出了一種通過檢測數(shù)據(jù)包來確定第一檢測路徑是否有遭受到網(wǎng)絡(luò) 攻擊的檢測方法�����,相對于現(xiàn)有的通過檢測網(wǎng)絡(luò)中各節(jié)點(diǎn)的網(wǎng)絡(luò)流量來確定是否有遭受到網(wǎng) 絡(luò)攻擊具有以下優(yōu)點(diǎn):
[0192] 第一:僅需在檢測節(jié)點(diǎn)中安裝對應(yīng)的檢測應(yīng)用�,無需如現(xiàn)有的基于數(shù)據(jù)流量的檢 測方法一樣���,在各路由節(jié)點(diǎn)中安裝檢測應(yīng)用����,具有實現(xiàn)簡便的優(yōu)點(diǎn),無需在歸屬他人的網(wǎng)絡(luò) 節(jié)點(diǎn)中安裝檢測應(yīng)用��,具有應(yīng)用簡便及應(yīng)用前景大的優(yōu)點(diǎn)���;
[0193] 第二:本實施例所述的方法相對于基于數(shù)據(jù)包的檢測方法�,還能檢測出以合法數(shù) 據(jù)流進(jìn)行攻擊的網(wǎng)絡(luò)攻擊�;
[0194] 第三:采用檢測節(jié)點(diǎn)通過向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包,依據(jù)檢測數(shù)據(jù)包觸發(fā)的響 應(yīng)數(shù)據(jù)包來確定當(dāng)前第一檢測路徑是否遭受了網(wǎng)絡(luò)攻擊攻擊����,無需各路由節(jié)點(diǎn)上報數(shù)據(jù)流 量通過多重分析來確定是否遭受網(wǎng)絡(luò)攻擊,能夠依據(jù)響應(yīng)數(shù)據(jù)包攜帶的信息及接收參數(shù)����, 快速確定出是否遭受了網(wǎng)絡(luò)攻擊。
[0195] 方法實施例二:
[0196] 如圖1所示���,本實施例提供一種網(wǎng)絡(luò)攻擊檢測方法�,所述方法包括:
[0197] 步驟S110 :進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?��,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路 徑的檢測路徑集合���;
[0198] 步驟S120 :通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包���;
[0199] 步驟S130 :接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包;
[0200] 步驟S140 :依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息���,獲 取當(dāng)前檢測參數(shù);
[0201] 步驟S150 :依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)�����,確定所述第一檢測路徑是否 有遭受網(wǎng)絡(luò)攻擊����。
[0202] 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù) 據(jù)包的序列號和應(yīng)答號生成的序列號和應(yīng)答號�����;
[0203] 如圖2所示�,所述步驟S140包括:
[0204] 步驟S141 :依據(jù)所述檢測數(shù)據(jù)包的序列號、所述檢測數(shù)據(jù)包的應(yīng)答號����、所述響應(yīng) 數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號����,確定正向路徑丟包信息及逆向路徑丟包信 息���;
[0205] 步驟S142 :依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定逆向 路徑可用帶寬����;
[0206] 步驟S143 :所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路 徑可用帶寬����。
[0207] 當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時,遭受攻擊的目標(biāo)鏈路將出現(xiàn)網(wǎng)絡(luò)擁堵��,就會導(dǎo)致數(shù)據(jù)包無法 發(fā)送���,網(wǎng)絡(luò)節(jié)點(diǎn)就會將部分或全部數(shù)據(jù)包丟掉��,進(jìn)而導(dǎo)致丟包現(xiàn)象�。對應(yīng)的檢測數(shù)據(jù)包的丟 包現(xiàn)象��,將導(dǎo)致目標(biāo)節(jié)點(diǎn)接收不到檢測數(shù)據(jù)包�����,從而將不會發(fā)送所述響應(yīng)數(shù)據(jù)包;從而可根 據(jù)是否接收到響應(yīng)數(shù)據(jù)包及所述響應(yīng)數(shù)據(jù)包中的序列號����,確定出當(dāng)前目標(biāo)節(jié)點(diǎn)接收了幾個 檢測數(shù)據(jù)包;根據(jù)所述響應(yīng)數(shù)據(jù)包中應(yīng)答號����,可確定出丟失的檢測數(shù)據(jù)包的序號。
[0208] 具體如發(fā)送了兩個檢測數(shù)據(jù)包�;第一個檢測數(shù)據(jù)包的序列號及應(yīng)答號均為1 ;若 目標(biāo)節(jié)點(diǎn)僅接收了一個檢測數(shù)據(jù)包;第一個數(shù)據(jù)包丟失了�,在這種情況下����,通常目標(biāo)節(jié)點(diǎn)沒 有接收到檢測節(jié)點(diǎn)發(fā)送的第一個檢測數(shù)據(jù)包的數(shù)據(jù),則目標(biāo)節(jié)點(diǎn)將可能在響應(yīng)數(shù)據(jù)包中的 應(yīng)答號中請求其未接收到的數(shù)據(jù)��,此時表明目標(biāo)節(jié)點(diǎn)未接收到所述檢測數(shù)據(jù)包����,正向路徑 出現(xiàn)丟包。依據(jù)響應(yīng)數(shù)據(jù)包的序列號��,通過所述序列號可以確定出是否出現(xiàn)不連號的現(xiàn)象����, 而在指定的時間內(nèi)目標(biāo)節(jié)點(diǎn)也沒有在響應(yīng)數(shù)據(jù)包中通過應(yīng)答號來請求相應(yīng)檢測數(shù)據(jù)包攜 帶的數(shù)據(jù)��,則可能逆向路徑出現(xiàn)了丟包�。
[0209] 所述確定逆向路徑可用帶寬�,具體可包括:確定在檢測數(shù)據(jù)包作用下,同時發(fā)送的 兩個響應(yīng)數(shù)據(jù)包達(dá)到檢測節(jié)點(diǎn)的達(dá)到時間差���;確定所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量��;依據(jù)所述時 間差及數(shù)據(jù)量確定出逆向路徑的可用帶寬�。
[0210] 所述確定正向路徑可用帶寬�����,具體可包括:發(fā)送兩個將觸發(fā)響應(yīng)數(shù)據(jù)包的兩個檢 測數(shù)據(jù)包��;確定接收所述兩個響應(yīng)數(shù)據(jù)包的達(dá)到時間差���;確定在時間差內(nèi)����,目標(biāo)節(jié)點(diǎn)接收 的從檢測端發(fā)送的數(shù)據(jù)包的數(shù)據(jù)量;依據(jù)所述時間差和所述數(shù)據(jù)量確定所述正向路徑可用 帶寬���。
[0211] 當(dāng)發(fā)生網(wǎng)絡(luò)攻擊時�,由于被攻擊的目標(biāo)鏈路被與其連接的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送各種形式 的合法數(shù)據(jù)流堵塞���,該目標(biāo)鏈路的可用帶寬將驟減��;而一條第一檢測路徑的可用帶寬決定 各鏈路的最小可用帶寬�����;故在本實施例中還根據(jù)收發(fā)數(shù)據(jù)包的時間及傳輸?shù)臄?shù)據(jù)量來確定 正向路徑可用帶寬以及逆向路徑可用帶寬���;進(jìn)而確定出第一檢測路徑是否遭受網(wǎng)絡(luò)攻擊 (如LFA),且是逆向路徑遭受網(wǎng)絡(luò)攻擊還是正向路徑遭受了網(wǎng)絡(luò)攻擊��。
[0212] 本實施例在實施例一的基礎(chǔ)上����,限定所述當(dāng)前檢測參數(shù)包括哪些��,具體如何獲得 的�,這些參數(shù)能準(zhǔn)確度的反映出當(dāng)前檢測鏈路是否遭受了網(wǎng)絡(luò)攻擊,具有檢測簡便的優(yōu)點(diǎn)。
[0213] 方法實施例三:
[0214] 如圖1所示����,本實施例提供一種網(wǎng)絡(luò)攻擊檢測方法,所述方法包括:
[0215] 步驟S110 :進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?��,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路 徑的檢測路徑集合���;
[0216] 步驟S120 :通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;
[0217] 步驟S130 :接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包���;
[0218] 步驟S140 :依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息�,獲 取當(dāng)前檢測參數(shù)���;
[0219] 步驟S150 :依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)���,確定所述第一檢測路徑是否 有遭受網(wǎng)絡(luò)攻擊。
[0220] 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號�����;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù) 據(jù)包的序列號和應(yīng)答號生成的序列號和應(yīng)答號���;
[0221] 如圖2所示����,所述步驟S140包括:
[0222] 步驟S141 :依據(jù)所述檢測數(shù)據(jù)包的序列號、所述檢測數(shù)據(jù)包的應(yīng)答號��、所述響應(yīng) 數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�,確定正向路徑丟包信息及逆向路徑丟包信 息;
[0223] 步驟S142 :依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定逆向 路徑可用帶寬�����;
[0224] 步驟S143 :所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路 徑可用帶寬���。
[0225] 如圖3所示����,所述步驟S120包括:
[0226] 步驟S1201 :確定第一 TCP接收窗口值和TWP響應(yīng)數(shù)據(jù)包的報文長度MSS ;其中��,所 述第一指定TCP接收窗口值用于控制所述目標(biāo)節(jié)點(diǎn)返回w個報文長度為所述MSS的TWP響 應(yīng)數(shù)據(jù)包����;所述w為不小于2的正整數(shù)���;
[0227] 步驟S1202 :依據(jù)所述第一 TCP接收窗口值及所述MSS形成第一 TWP檢測數(shù)據(jù)包�;
[0228] 步驟S1203 :通過所述第一檢測路徑向所述目標(biāo)節(jié)點(diǎn)發(fā)送所述第一 TWP檢測數(shù)據(jù) 包;
[0229] 所述步驟S130包括:
[0230] 接收目標(biāo)節(jié)點(diǎn)在所述第一 TWP檢測數(shù)據(jù)包觸發(fā)下返回的w個TWP響應(yīng)數(shù)據(jù)包���;
[0231] 所述步驟S142包括:
[0232] 確定第1個所述TWP響應(yīng)數(shù)據(jù)包與第w個所述TWP響應(yīng)數(shù)據(jù)包的達(dá)到時間之間的 時間間隔
[0233] 依據(jù)所述G,�、所述w及所述MSS計算檢測節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)之間的逆向路徑可用帶
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)攻擊檢測方法�,其特征在于, 所述方法包括: 進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?����,依?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路徑的檢測路徑集 合����; 通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包;所述第一檢測路徑為所述檢測路徑集 合中的一條所述檢測路徑��; 接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包����; 依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息,獲取當(dāng)前檢測參 數(shù)�����; 依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù),確定所述第一檢測路徑是否有遭受網(wǎng)絡(luò)攻 擊�。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于�, 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù)據(jù)包 的序列號和應(yīng)答號生成的序列號和應(yīng)答號�����; 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息����,獲取當(dāng)前檢測 參數(shù),包括: 依據(jù)所述檢測數(shù)據(jù)包的序列號���、所述檢測數(shù)據(jù)包的應(yīng)答號��、所述響應(yīng)數(shù)據(jù)包的序列號 和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�����,確定正向路徑丟包信息及逆向路徑丟包信息�����; 依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定逆向路徑 可用帶寬; 依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路徑可用帶寬����。
3. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于��, 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�,包括: 確定第一 TCP接收窗口值和TWP響應(yīng)數(shù)據(jù)包的報文長度MSS ;其中,所述第一 TCP接收 窗口值用于控制所述目標(biāo)節(jié)點(diǎn)返回w個報文長度為所述MSS的TWP響應(yīng)數(shù)據(jù)包����;所述w為 不小于2的正整數(shù); 依據(jù)所述第一 TCP接收窗口值及所述MSS形成第一 TWP檢測數(shù)據(jù)包�����; 通過所述第一檢測路徑向所述目標(biāo)節(jié)點(diǎn)發(fā)送所述第一 TWP檢測數(shù)據(jù)包���; 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包�,包括: 接收目標(biāo)節(jié)點(diǎn)在所述第一 TWP檢測數(shù)據(jù)包觸發(fā)下返回的w個TWP響應(yīng)數(shù)據(jù)包���; 所述依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù)據(jù)量確定逆向 路徑可用帶寬�,包括: 確定第1個所述TWP響應(yīng)數(shù)據(jù)包與第w個所述TWP響應(yīng)數(shù)據(jù)包的達(dá)到時間之間的時間 間隔; 依據(jù)所述4、所述w及所述MSS計算檢測節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)之間的逆向路徑可用帶寬 0 r〇
4. 根據(jù)權(quán)利要求2所述的方法�,其特征在于, 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包��,包括: 按照發(fā)送先后順序形成依次包括第一 ACK包�、隊個負(fù)載數(shù)據(jù)包及第二ACK包的檢驗包 隊列;其中�,所述隊為不小于1的整數(shù); 通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢驗包隊列���; 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包���,包括: 接收所述目標(biāo)節(jié)點(diǎn)基于所述第一 ACK包反饋的第一 mRTP響應(yīng)數(shù)據(jù)包及基于所述第二 ACK包反饋的第二mRTP響應(yīng)數(shù)據(jù)包; 所述所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正向路徑可用帶寬��, 包括: 依據(jù)第一mRTP反饋數(shù)據(jù)包及所述第二mRTP響應(yīng)數(shù)據(jù)包的達(dá)到時間確定達(dá)到時間間隔 ga�; 依據(jù)&、所述隊及所述算檢測節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)之間的正向路徑可用帶寬0 其中�����,&為所述負(fù)載數(shù)據(jù)攜帶的數(shù)據(jù)量�����。
5. 根據(jù)權(quán)利要求4所述的方法,其特征在于���, 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包,還包括: 在所述按照發(fā)送先后順序形成依次包括第一 ACK包�����、隊個負(fù)載數(shù)據(jù)包及第二ACK包的 檢驗包隊列之前�,還包括確定所述第一 ACK包的第一序列號;所述第二ACK包的第二序列 號��; 其中�����,所述第一序列號大于所述第二序列號���。
6. 根據(jù)權(quán)利要求2所述的方法��,其特征在于����, 所述通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�,包括: 通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送n個攜帶有序列號及指定的應(yīng)答號的RTP 檢測數(shù)據(jù)包�;所述n為不小2的正整數(shù)���; 所述接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包����,包括: 接收所述目標(biāo)節(jié)點(diǎn)在n個所述RTP檢測數(shù)據(jù)包觸發(fā)下����,依據(jù)所述序列號以及應(yīng)答號返 回的包括序列號及應(yīng)答號的RTP響應(yīng)數(shù)據(jù)包; 所述依據(jù)所述檢測數(shù)據(jù)包的序列號���、所述檢測數(shù)據(jù)包的應(yīng)答號����、所述響應(yīng)數(shù)據(jù)包的序 列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號��,確定正向路徑丟包信息及逆向路徑丟包信息�,還包括: 依據(jù)所述RTP檢測數(shù)據(jù)包的序列號、所述RTP檢測數(shù)據(jù)包的應(yīng)答號�����、所述RTP響應(yīng)數(shù)據(jù) 包的序列號所述RTP響應(yīng)數(shù)據(jù)包的應(yīng)答號,確定正向路徑RTP丟包率及逆向路徑RTP丟包 率���。
7. 根據(jù)權(quán)利要求1至6任一項所述的方法�,其特征在于�����, 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息�,獲取當(dāng)前檢測 參數(shù)��,還包括: 依據(jù)所述檢測數(shù)據(jù)包的發(fā)送時間及所述響應(yīng)數(shù)據(jù)包的達(dá)到時間���,確定往返時間RTT ; 依據(jù)第一指定時間內(nèi)至少兩次所述檢測數(shù)據(jù)包的發(fā)送時間及對應(yīng)的所述響應(yīng)數(shù)據(jù)包 的達(dá)到時間��,確定所述往往時間RTT的波動��。
8. 根據(jù)要求1至6任一項所述的方法�,其特征在于����, 所述檢測數(shù)據(jù)包及所述響應(yīng)數(shù)據(jù)包均攜帶有序列號及應(yīng)答號; 所述依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息�,獲取當(dāng)前檢測 參數(shù),還包括: 依據(jù)所述檢測數(shù)據(jù)包的序列號、所述檢測數(shù)據(jù)包的應(yīng)答號���、所述響應(yīng)數(shù)據(jù)包的序列號 和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號�����,確定正向路徑亂序信息����; 依據(jù)所述響應(yīng)數(shù)據(jù)包的達(dá)到時間確定逆向路徑亂序信息����。
9. 根據(jù)權(quán)利要求1至6任一項所述的方法,其特征在于���, 所述方法還包括: 在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時�����,逐跳定位所述第一檢測路徑中遭受所述 網(wǎng)絡(luò)攻擊的目標(biāo)鏈路���。
10. 根據(jù)權(quán)利要求9所述的方法,其特征在于���, 所述在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時���,逐跳定位所述第一檢測路徑中遭受 所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路�����,包括: 確定各第一檢驗包中的生命周期TTL值�����;第i個發(fā)送的第一檢驗包的TTL值為i���,任意 兩個所述第一檢驗包的TTL值均不同�����;所述i為不大于所述h的正整數(shù)�;所述h為所述第一 檢測路徑包括的鏈路總跳數(shù);每經(jīng)過一個節(jié)點(diǎn)所述TTL值減1 ; 依據(jù)所述TTL值��,形成h個攜帶有生命周期TTL值的第一檢驗包�; 發(fā)送所述第一檢驗包;其中����, 接收所述檢測鏈路中各節(jié)點(diǎn)在所述第一檢驗包的TTL值減為0時���,返回的第一反饋 包; 依據(jù)所述第一反饋包�,定位遭受所述網(wǎng)絡(luò)攻擊的待測潛在鏈路; 依據(jù)至少經(jīng)過部分所述待測潛在鏈路的第二檢測路徑的檢測結(jié)果����,定位遭受所述網(wǎng)絡(luò) 攻擊的目標(biāo)鏈路; 其中����,所述第二檢測路徑是所述檢測路徑集合中不同于所述第一檢測路徑的一條檢測 路徑。
11. 一種網(wǎng)絡(luò)攻擊檢測節(jié)點(diǎn)��,其特征在于�����, 所述節(jié)點(diǎn)包括: 分析單元����,用于進(jìn)行網(wǎng)絡(luò)拓?fù)浞治觯罁?jù)網(wǎng)絡(luò)拓?fù)浞治鼋Y(jié)果形成包括至少一條檢測路 徑的檢測路徑集合����; 發(fā)送單元�����,用于通過第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢測數(shù)據(jù)包�;所述第一檢測路徑為 所述檢測路徑集合中的一條所述檢測路徑��; 接收單元��,用于接收目標(biāo)節(jié)點(diǎn)在所述檢測數(shù)據(jù)包觸發(fā)下發(fā)送的響應(yīng)數(shù)據(jù)包�; 獲取單元,用于依據(jù)所述響應(yīng)數(shù)據(jù)包的接收參數(shù)以及所述響應(yīng)數(shù)據(jù)包攜帶的信息�,獲 取當(dāng)前檢測參數(shù); 確定單元����,用于依據(jù)所述當(dāng)前檢測參數(shù)及歷史檢測數(shù)據(jù)��,確定所述第一檢測路徑是否 有遭受網(wǎng)絡(luò)攻擊�����。
12. 根據(jù)權(quán)利要求11所述的節(jié)點(diǎn)��,其特征在于, 所述檢測數(shù)據(jù)包攜帶有序列號和應(yīng)答號����;所述響應(yīng)數(shù)據(jù)包攜帶有依據(jù)所述檢測數(shù)據(jù)包 的序列號和應(yīng)答號生成的序列號和應(yīng)答號; 所述獲取單元�����,包括: 第一獲取模塊��,用于依據(jù)所述檢測數(shù)據(jù)包的序列號��、所述檢測數(shù)據(jù)包的應(yīng)答號���、所述響 應(yīng)數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號���,確定正向路徑丟包信息及逆向路徑丟包信 息; 第二獲取模塊�����,用于依據(jù)至少兩個所述響應(yīng)數(shù)據(jù)包的達(dá)到時間及所述響應(yīng)數(shù)據(jù)包的數(shù) 據(jù)量確定逆向路徑可用帶寬��; 第三獲取模塊�,用于依據(jù)所述響應(yīng)數(shù)據(jù)包達(dá)到時間及所述檢測數(shù)據(jù)包的數(shù)據(jù)量確定正 向路徑可用帶寬��。
13. 根據(jù)權(quán)利要求12所述的節(jié)點(diǎn)����,其特征在于�����, 所述發(fā)送單元包括: 第一確定模塊����,用于確定第一 TCP接收窗口值和TWP響應(yīng)數(shù)據(jù)包的報文長度MSS ;其 中,所述第一 TCP接收窗口值用于控制所述目標(biāo)節(jié)點(diǎn)返回w個報文長度為所述MSS的TWP 響應(yīng)數(shù)據(jù)包��;所述w為不小于2的正整數(shù)�����; 第一形成模塊����,用于依據(jù)所述第一 TCP接收窗口值及所述MSS形成第一 TWP檢測數(shù)據(jù) 包����; 發(fā)送模塊���,用于通過所述第一檢測路徑向所述目標(biāo)節(jié)點(diǎn)發(fā)送所述第一 TWP檢測數(shù)據(jù) 包; 所述接收單元���,具體用于接收目標(biāo)節(jié)點(diǎn)在所述第一 TWP檢測數(shù)據(jù)包觸發(fā)下返回的w個 TWP響應(yīng)數(shù)據(jù)包�����; 所述第二獲取模塊��,具體用于確定第1個所述TWP響應(yīng)數(shù)據(jù)包與第w個所述TWP響應(yīng) 數(shù)據(jù)包的達(dá)到時間之間的時間間隔及依據(jù)所述Gp所述w及所述MSS計算檢測節(jié)點(diǎn)與目 標(biāo)節(jié)點(diǎn)之間的逆向路徑可用帶寬L��。
14. 根據(jù)權(quán)利要求12所述的節(jié)點(diǎn)�����,其特征在于�, 所述發(fā)送單元��,包括: 第二形成模塊����,用于按照發(fā)送先后順序形成依次包括第一 ACK包、隊個負(fù)載數(shù)據(jù)包及第 二ACK包的檢驗包隊列;其中�����,所述隊為不小于1的整數(shù)���; 發(fā)送模塊��,用于通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)發(fā)送檢驗包隊列�����; 所述接收單元���,具體用于接收所述目標(biāo)節(jié)點(diǎn)基于所述第一 ACK包反饋的第一 mRTP響應(yīng) 數(shù)據(jù)包及基于所述第二ACK包反饋的第二mRTP響應(yīng)數(shù)據(jù)包; 所述第三獲取模塊��,具體用于依據(jù)第一 mRTP反饋數(shù)據(jù)包及所述第二mRTP響應(yīng)數(shù)據(jù)包 的達(dá)到時間確定達(dá)到時間間隔GA;及依據(jù)公式S p所述隊及所述G 4計算檢測節(jié)點(diǎn)與目標(biāo)節(jié) 點(diǎn)之間的正向路徑可用帶寬ee; 其中���,&為所述負(fù)載數(shù)據(jù)攜帶的數(shù)據(jù)量�����。
15. 根據(jù)權(quán)利要求12所述的節(jié)點(diǎn)���,其特征在于���, 所述發(fā)送單元�,具體用于通過所述第一檢測路徑向目標(biāo)節(jié)點(diǎn)連續(xù)發(fā)送n個攜帶有序列 號及指定的應(yīng)答號的RTP檢測數(shù)據(jù)包;所述n為不小2的正整數(shù)���; 所述接收單元��,具體用于接收所述目標(biāo)節(jié)點(diǎn)在n個所述RTP檢測數(shù)據(jù)包觸發(fā)下�,依據(jù)所 述序列號以及應(yīng)答號返回的包括序列號及應(yīng)答號的RTP響應(yīng)數(shù)據(jù)包�����; 所述獲取單元���,具體用于依據(jù)所述RTP檢測數(shù)據(jù)包的序列號���、所述RTP檢測數(shù)據(jù)包的應(yīng) 答號、所述RTP響應(yīng)數(shù)據(jù)包的序列號所述RTP響應(yīng)數(shù)據(jù)包的應(yīng)答號���,確定正向路徑RTP丟包 率及逆向路徑RTP丟包率�����。
16. 根據(jù)權(quán)利要求11至15任一項所述的節(jié)點(diǎn)�,其特征在于, 所述獲取單元����,用于依據(jù)所述檢測數(shù)據(jù)包的發(fā)送時間及所述響應(yīng)數(shù)據(jù)包的達(dá)到時間, 確定往返時間RTT ;及依據(jù)第一指定時間內(nèi)至少兩次所述檢測數(shù)據(jù)包的發(fā)送時間及對應(yīng)的 所述響應(yīng)數(shù)據(jù)包的達(dá)到時間���,確定所述往往時間RTT的波動�。
17. 根據(jù)要求11至15任一項所述的節(jié)點(diǎn)����,其特征在于, 所述檢測數(shù)據(jù)包及所述響應(yīng)數(shù)據(jù)包均攜帶有序列號及應(yīng)答號����; 所述獲取單元,還用于依據(jù)所述檢測數(shù)據(jù)包的序列號�����、所述檢測數(shù)據(jù)包的應(yīng)答號����、所述 響應(yīng)數(shù)據(jù)包的序列號和所述響應(yīng)數(shù)據(jù)包的應(yīng)答號����,確定正向路徑亂序信息���;及依據(jù)所述響 應(yīng)數(shù)據(jù)包的達(dá)到時間確定逆向路徑亂序信息。
18. 根據(jù)權(quán)利要求11至15任一項所述的節(jié)點(diǎn)����,其特征在于, 所述節(jié)點(diǎn)還包括: 定位單元�����,還用于在確定出所述第一檢測路徑遭受網(wǎng)絡(luò)攻擊時���,逐跳定位所述第一檢 測路徑中遭受所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路���。
19. 根據(jù)權(quán)利要求18所述的方法,其特征在于�����, 所述定位單元�����,包括: 第三確定模塊�����,用于確定各第一檢驗包中的生命周期TTL值���;第i個發(fā)送的第一檢驗 包的TTL值為i��,任意兩個所述第一檢驗包的TTL值均不同��;所述i為不大于所述h的正整 數(shù)�����;所述h為所述第一檢測路徑包括的鏈路總跳數(shù)��;每經(jīng)過一個節(jié)點(diǎn)所述TTL值減1 ; 第三形成模塊���,用于依據(jù)所述TTL值����,形成h個攜帶有生命周期TTL值的第一檢驗包���; 所述發(fā)送單元,還用于發(fā)送所述第一檢驗包���;其中�����, 所述接收單元����,還用于接收所述檢測鏈路中各節(jié)點(diǎn)在所述第一檢驗包的TTL值減為0 時��,返回的第一反饋包; 所述定為單元還包括: 定位模塊���,用于依據(jù)至少經(jīng)過部分所述待測潛在鏈路的第二檢測路徑的檢測結(jié)果�,定 位遭受所述網(wǎng)絡(luò)攻擊的目標(biāo)鏈路�; 其中����,所述第二檢測路徑是所述檢測路徑集合中不同于所述第一檢測路徑的一條檢測 路徑。
20. 根據(jù)權(quán)利要求19所述的方法����,其特征在于�����, 所述第三確定模塊,還用于確定各第二檢驗包中的生命周期TTL值��;第i個發(fā)送的第二 檢驗包的TTL值為h-i�,任意兩個所述第二檢驗包的TTL值均不同;所述i為0或小于所述 h的正整數(shù)�; 所述第三形成模塊��,還用于依據(jù)所述TTL值形成h個第二檢驗包且形成至少一個負(fù)載 數(shù)據(jù)包���; 所述發(fā)送單元�,還用于在發(fā)送所述第一檢驗包之后�����,還依次發(fā)送至少一個負(fù)載數(shù)據(jù)包 及所述第二檢驗包; 所述接收單元�����,還用于接收所述檢測鏈路中各節(jié)點(diǎn)在所述第二檢驗包的TTL值減為0 時�����,返回的第二反饋包; 所述定位單元還包括: 第一計算模塊����,用于依據(jù)6」及1計算所述第一檢測路徑中第j跳鏈路的可用帶寬0 j;所述j為不大于所述h的正整數(shù); 其中,所述為所述TTL值為j的第一檢驗包觸發(fā)的第一反饋包的達(dá)到時間與所述TTL 值為j的第二檢驗包觸發(fā)的第二反饋包的達(dá)到時間的時間差��; 所述%為所述TTL值為j的第一檢驗包與第二檢驗包之間各數(shù)據(jù)包的數(shù)據(jù)量總和���; 所述定位模塊�����,還用于依據(jù)所述第一反饋包及所述0」�,定位遭受所述網(wǎng)絡(luò)攻擊的待測 潛在鏈路�����。
【文檔編號】H04L29/06GK104506482SQ201410532769
【公開日】2015年4月8日 申請日期:2014年10月10日 優(yōu)先權(quán)日:2014年10月10日
【發(fā)明者】薛磊, 劉志偉, 鄒賢能, 侯金剛, 羅夏樸, 陳煥華, 涂沛, 邵玉如 申請人:香港理工大學(xué), 騰訊科技(深圳)有限公司