[发明专利]数据包检测方法及系统

说明书

本发明适用于互联网网络接入设备，提供了一种数据包检测方法及系统，所述数据包检测方法包括：获取合法数据包中原始生存时间值；根据所述原始生存时间值计算出生存时间基准值，所述生存时间基准值对应所述合法数据包的源地址的多个预定邻近地址；获取待验数据包中的待验生存时间值；根据所述待验生存时间值与所述生存时间基准值，确定所述待验数据包是否合法。借此，本发明不仅能减少非法数据包的透传率，提高后端服务器的安全性能，而且能够适用各种复杂的网络环境，简单实用且安全可靠。

技术领域

本发明涉及一种数据包检测方法及系统。

背景技术

随着互联网技术的普及，越来越多的应用都开始迁移到互联网，随之而来的是越来越多的针对互联网的各种攻击。很多攻击数据包都是黑客直接伪造的非法数据包，然后通过互联网转发到目标机。若不加判断这些数据包和普通包没有太大差别，都会被网络设备和服务器所接受。一旦伪造的攻击数据包到达目标机，将会对目标机上运行的服务产生致命的威胁直至服务器资源耗尽无法正常运行为止。

所以，一种高效实用的能够判断数据包是否伪造的技术方案就显得尤为重要了。在众多的判断数据包真伪的方法中，TTL(Time To Live，生存时间)值的判断方法是一种非常有效而且性价比极高的策略。IP(Internet Protocol，互联网协议)数据包头都有一个TTL值字段，数据包每进过一个网络转发设备，TTL值就会自动减1，通常来说一个数据包从客户端发出到达服务器端所经过的网络设备是基本固定的，这样服务器端所收到的来自这个客户端的数据包中的TTL值也是相对比较固定。但是若有人想伪造一个这个源地址的数据包，其对应的TTL值和真实的客户端发出的数据包的TTL值很难匹配，除非两者到服务器之间的网络设备数一样，但是这种概率较低。所以通过判断TTL值可有效地判断数据包是否合法。

中国专利CN200810067292.5公开了一种伪造IP数据包的处理方法及装置，其处理流程大概如下：

1)接收待处理的IP数据包，并提取TTL值。

2)判断数据包中的TTL值是否在可信范围，若不可信就丢弃；

3)若可信，就提取源地址，查找TTL记录，若记录值与实际IP包中的值不一致而且已经标记为探测过就丢弃，没有探测过就会主动发起ICMP(Internet Control MessageProtocol，互联网控制报文协议)探测。

需要说明的是TTL记录中存储的信息都是真实客户端的相关信息，都是一一对应的关系。CN200810067292.5在实现时是一个老化时间概念，类似于超时机制，一旦时间到了，记录中的TTL值就会无效并做删除操作，并且CN200810067292.5具体存在如下技术问题：

1、CN200810067292.5中所列举的TTL检测和记录的方法无法在NAT(NetworkAddress Transfer，网络地址转换器)环境中使用，其针对一个源地址记录一个正式的TTL值，但是实际上若这个源地址是一个NAT出口，针对这个源地址的TTL值就有多个段存在，那么表中所记录的实际TTL值会不断地变化，只要不同的操作系统交替访问，就会出现很大的误杀情况。虽然CN200810067292.5的图7中描述时会预先进过一个TTL可信范围的判断，但是在接下来的根据源地址查找TTL对照表时，只要是当前访问者的操作系统和表中记录的TTL值的操作系统不同，就会有可能导致与实际TTL值不符的判断，从而进入丢包流程。

2、CN200810067292.5中是完全的一个源地址对应一个存储结构，需要大量内存。

3、CN200810067292.5对TTL值的获取方法是主动发送ICMP数据包等待回包或者从正常的三次握手中获取TTL值，但很多网络设备或者软件防火墙会自动禁用ICMP的，因此使用局限性较大。