[发明专利]一种反射型DDos的IP扫描探测系统

说明书

本发明提供了一种反射型DDos的IP扫描探测系统，包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块；所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息；所述消息队列模块用于缓存各个部分信息，在端口探测模块扫描时，实时推送至消息队列模块，消息队列模块将数据存储至数据库；所述数据存储模块用于数据的存储，数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的IP以及放大倍率数据；所述IP识别探测模块用于，监听固定端口、IP及倍率统计、伪造端口发送探测报文。

技术领域

本发明涉及网络安全领域，尤其涉及一种反射型DDos的IP扫描探测系统。

背景技术

随着互联网的发展，DDOS(分布式拒绝服务)攻击越来越为常见。从早期的SYNFlood等逐步转向流量更大的DRDos(分布式反射拒绝服务)。DRDos与DOS、DDOS不同的是，通过伪造受害者的IP地址和端口，将数据包经过存在漏洞的服务器反射至受害者，往往可以获得更大的流量，形成方法攻击的效果。

而目前针对存在反射放大漏洞IP的检测，通常只有针对单个IP地址或者小范围的IP地址集进行探测发现，由于其发现速度较慢，难以在较短的时间内监控大量IP地址。对于大范围的IP地址，往往需要较长时间，且更新缓慢不及时。

与TCP协议不同，由于UDP协议是一个无连接协议，导致攻击者可以通过伪造UDP包的IP地址，而目标主机在接收到后会将请求包返回至我们伪造的IP地址。而许多基于UDP协议的，如DNS,NTP,SSDP等协议，在配置不当或存在漏洞等情况下，往往会返回一个大于原先数据包几倍甚至几十倍的报文。

现有的反射放大漏洞IP的检测，通常使用到的工具为nmap，使用其自带的nse脚本，或者自行编写nse脚本，实现对特定端口的扫描以及识别。其校验的大致过程为发送一个请求包，等待返回的数据包，并计算其放大倍数，若存在多个IP则重复上述步骤。

现有技术的缺点是，对于存在反射漏洞的IP识别较慢，对于大范围的识别需要消费大量的时间，并难以保证大范围内识别的时效性。

发明内容

针对现有技术的不足，本发明提供一种反射型DDos的IP扫描探测系统，包括端口探测模块、消息队列模块、数据存储模块和IP识别探测模块；本发明将端口探测模块和IP识别探测模块分开，以及IP识别探测模块内部的扫描逻辑，使得探测速度大幅度提升；

所述端口探测模块用于扫描识别目标IP集内的特定端口开放信息；特定端口指存在DDOS反射漏洞协议的端口，如DNS的53端口，NTP的123端口等。端口探测模块用来探测IP集内这些端口的开放信息(即是否处于开放状态)，仅记录处于开放端口以及对应的IP地址信息，不记录未开放的端口信息

所述消息队列模块用于缓存各个部分信息(包括端口探测模块的扫描结果，以及IP识别探测模块的扫描结果)，在端口探测模块扫描时，将端口探测模块的扫描结果以键值对的形式(以端口作为键，开放的IP整合为数组作为值)整合，实时推送至消息队列模块，消息队列模块将端口探测模块结果数据以及IP探测模块结果数据存储至数据库；

所述数据存储模块用于数据的存储，其存储的字段包括IP地址、端口、时间、状态(是否存在DDOS漏洞)和放大倍率，数据存储模块中存储的数据包括由端口采集模块采集到的所有端口数据和IP识别探测模块的识别结果；所有端口数据即目标IP集内的特定端口开放信息；IP识别探测模块的识别结果包括存在反射型DDOS的IP、端口以及放大倍率；即在数据存储模块中包含的元数据为：IP地址，端口，时间，状态(是否存在DDOS漏洞)以及放大倍率。