[发明专利]IP源地址追溯的方法

说明书

技术领域

本发明涉及互联网技术领域，具体而言，本发明涉及IP源地址追溯的 方法。

背景技术

随着互联网使用环境的变化，互联网技术的缺陷正逐渐暴露出来，其 中不保证源地址的真实性便是一个重要问题。互联网之初主要用于学术目 的，当时假设网络中的所有设备都是可信任的，因此报文在转发过程中没 有认证源地址的真实性。而在当前复杂的互联网环境下，这种网络设备普 遍可信的情况早已不复存在，与之相反，每一台设备都可能伪造其源地址 来达成特殊目的。当今，通过伪造源地址来辅助发起网络攻击的行为十分 频繁。

互联网上的采用伪造IP源地址的攻击相当泛滥，据互联网观测组织的 统计，每周至少有4000起采用伪造源地址的拒绝服务攻击。这类攻击具有 容易发起但是难以追溯的特点，这是造成伪造源地址攻击泛滥的原因。

目前已经有很多技术被提出来希望能控制这类攻击。它们可以分为三 类：

路径过滤类(Filtering)：这一类技术主要是使用路由信息来过滤掉一 部分伪造源地址的报文。典型的例子如入口过滤(Ingress filtering)，就是 通过检查网关上接收到的报文其源地址是否在接入子网的地址空间范围 内，从而判断报文是否合法。

端到端认证类(End-to-End Approach)：这一类技术在源端给报文加 入标记，这一标记在报文的目的端被检查用来判断报文中所含源地址的真 实性。

回溯类(Traceback)：回溯类技术是一种被动的技术。它希望获取报 文在互联网上所经过的路径，在攻击发生时，通过分析报文路径来获取攻 击源的地址。

尽管出现了很多解决方法，但目前并没有一种方法可以完美地解决源 地址伪造问题。不支持增量部署及缺乏对运营商的激励也是这一难题形成 的重要原因。

IP源地址追溯是查找攻击报文来源的一种有效方法。基于IP源地址追 溯可以找到攻击的源头，从而从源头上遏制、杜绝攻击。

因此，有必要提出一种有效的技术方案，以解决目前IPv6或IPv4协 议下IP源地址追溯的问题。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一，特别通过对网络望远 镜捕获的攻击数据进行分析，获取攻击源的信息，以解决目前IPv6或IPv4 协议下IP源地址追溯的问题。

为了达到上述目的，本发明的实施例提出了一种IP源地址追溯的方法， 包括以下步骤：

获取网络望远镜捕获的攻击数据；

对所述攻击数据进行分析，获取攻击中所包含的ICMP(Internet Control  Message Protocol，Internet控制报文协议)报文信息；

根据所述ICMP报文信息提取路由器的IP地址，结合互联网自治系统 关系数据构建所述互联网自治系统之间的路径。

本发明提出的上述方案，通过对网络望远镜捕获的攻击数据进行分析， 获取攻击源的信息，解决了目前IPv6或IPv4协议下IP源地址追溯的问题。 上述方法基于IP源地址追溯可以找到攻击的源头，从而从源头上遏制、杜 绝攻击，是一种查找攻击报文来源的一种有效方法。上述方案可以支持IPv4 和IPv6协议，能达到互联网自治系统级别的追溯粒度，不修改主机和协议 栈，不增加新的协议。相比于其它IP追溯方案，它具有无需部署、无需ISP 协作等优势。此外，本发明提出的上述方案，对现有系统的改动很小，不 会影响系统的兼容性，而且实现简单、高效。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面 的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描 述中将变得明显和容易理解，其中：

图1为本发明实施例IP源地址追溯的方法的流程图；

图2为网络望远镜工作原理示意图；

图3为本发明实施例IP源地址追溯的示意图；

图4为本发明实施例IP源地址追溯方法的应用示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其 中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功 能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发 明，而不能解释为对本发明的限制。