[发明专利]一种反射型DDos的IP扫描探测系统

权利要求书

1.一种反射型DDOS的IP扫描探测系统，其特征在于，包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块；

所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息；

所述消息队列模块用于缓存各个部分信息，在端口探测模块扫描时，将端口探测模块的扫描结果以键值对的形式整合，实时推送至消息队列模块，消息队列模块将端口探测模块结果数据以及IP探测模块结果数据存储至数据库；

所述数据存储模块用于数据的存储，其存储的字段包括IP地址、端口、时间、状态和放大倍率，数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的识别结果；所有端口数据即目标IP集内的特定端口开放信息；IP识别探测模块的识别结果包括存在反射型DDOS的IP、端口以及放大倍率；

所述IP识别探测模块用于，监听固定端口、IP及倍率统计、伪造端口、构造各协议扫描载荷发送探测报文；

所述IP探测模块在扫描目标IP的特定端口是否开放时，通过消息队列模块从数据库获取对应数据，对应数据即IP集的端口开放数据；

所述IP识别探测模块通过伪造源IP的请求端口为指定端口，指定端口即监听端口，并构造请求包数据字段为触发漏洞的载荷，数据会返回至监听端口，同时探测报文包括多种协议的检测，多种协议包括SSDP协议，SNMP协议，DNS协议，MEMCACHED协议，PORTMAP协议，OPENVPN协议，LDAP协议和NTP协议；

所述IP识别探测模块通过构造协议特定的请求包，存在漏洞的IP会向监听端口返回对应数据；

所述IP识别探测模块通过计算发送出的请求包的大小s1，以及接收到的数据包大小为s2，接受到的数据包个数为n，得出放大倍数为n*(s2/s1)；

所述IP识别探测模块的单个端口只接受单种类型协议的返回包；

系统执行如下步骤：

步骤1，端口探测模块快速发现目标IP集的特定端口开放情况，并实时推送至消息队列模块，同时IP识别探测模块会从消息队列模块中提取端口探测模块的扫描结果，通过伪造请求包的源端口发送探测报文以及监听固定端口的工作方式，异步地完成IP扫描识别，并且以返回报文的数量以及包的大小统计放大倍率，同时将结果以IP地址，端口，时间，状态，放大倍率为一组元数据推送至消息队列，由数据存储模块以IP地址以及端口作为联合主键对结果进行存储或者更新；

步骤2 ，数据存储模块会将长期没有更迭的数据推送至消息队列，由IP识别探测模块重新进行扫描校验，对数据进行实时更新。