CN106921612A - 发现DDoS攻击的方法及装置 - Google Patents
发现DDoS攻击的方法及装置 Download PDFInfo
- Publication number
- CN106921612A CN106921612A CN201510990022.1A CN201510990022A CN106921612A CN 106921612 A CN106921612 A CN 106921612A CN 201510990022 A CN201510990022 A CN 201510990022A CN 106921612 A CN106921612 A CN 106921612A
- Authority
- CN
- China
- Prior art keywords
- main frame
- attack
- procotol
- control
- ddos attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种发现DDoS攻击的方法及装置。其方法包括:对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。根据本申请的技术方案,能够获知控制傀儡机发动DDoS攻击的中控主机,进而可以关联出背后的真正攻击者。
Description
技术领域
本申请涉及DDoS攻击防御领域,尤其涉及一种发现DDoS攻击的方法及装置。
背景技术
DDoS攻击是指黑客通过控制大量的傀儡机,消耗攻击目标的计算资源阻止目标为合法用户提供服务。现有的DDoS防御***,主要是保护目标免受攻击者的DDoS攻击,而攻击者一般是由黑客控制的傀儡机,因此,现有的DDoS防御***,是无法获知背后的真正攻击者到底是谁。最基本的DDoS攻击主要是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。现有的DDoS防御***,主要根据流量判断是否受到DDoS攻击,然而,在攻击者开始发动DDoS攻击时,由于初始流量较小,无法在第一时间准确判断是否要被攻击。
发明内容
本申请的一个目的是提供一种发现DDoS攻击的方法及装置,能够获知控制傀儡机发动DDoS攻击的中控主机及其攻击的目标主机。
根据本申请的一方面,提供了一种发现DDoS攻击的方法,其中,该方法包括以下步骤:
对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;
在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;
根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
可选地,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:
对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。
可选地,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:
运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
可选地,在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机的步骤包括:
向网络中的各个主机发送所述网络协议的数据包;
检测接收到的各个主机返回的数据包是否与预定结果匹配;
将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
可选地,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤包括:
向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;
接收扫描出的各个中控主机中至少一个下达的攻击指令;
通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
可选地,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤还包括:
向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
可选地,该方法还包括:将提取出的攻击目标IP地址、中控主机的IP地址以及攻击类型进行输出显示。
根据本申请的另一方面,还提供了一种发现DDoS攻击的装置,其中,该装置包括:
分析单元,用于对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;
查找单元,用于在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;
发现单元,用于根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
可选地,所述分析单元进一步用于:
对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。
可选地,所述分析单元进一步用于:
运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
可选地,所述查找单元包括:
发送单元,用于向网络中的各个主机发送所述网络协议的数据包;
检测单元,用于检测接收到的各个主机返回的数据包是否与预定结果匹配;
确定单元,用于将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
可选地,所述发现单元包括:
模拟单元,用于向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;
接收单元,用于接收扫描出的各个中控主机中至少一个下达的攻击指令;
解析单元,用于通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
可选地,所述发现单元还包括:
心跳包发送单元,用于向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
可选地,该装置还包括:输出单元,用于将提取出的攻击目标的IP地址、中控主机的IP地址以及攻击类型进行输出显示。
与现有技术相比,本申请的实施例具有以下优点:
1)现有的DDoS防御***,只能获知被哪些傀儡机所攻击,并不能获知控制傀儡机发起攻击的中控主机,也就很难关联出背后的真正攻击者是谁。与之相比,本申请能够获知控制傀儡机发动DDoS攻击的中控主机,进而可以关联出背后的真正攻击者。
2)本申请对控制傀儡机发动DDoS攻击的中控主机进行监控,在攻击发起的初始时刻,就能够获取其要攻击的目标主机以及使用的攻击方式。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请一个实施例提供的方法的流程图;
图2为本申请一个实施例的步骤S120的流程图;
图3为本申请一个实施例的步骤S130的一种实施方式的流程图;
图4为本申请一个实施例的步骤S130的另一种实施方式的流程图;
图5为本申请一个实施例提供的装置示意图;
图6为本申请实施例提供的装置中查找单元520的示意图;
图7为本申请实施例提供的装置中发现单元530的一种实施方式的示意图;
图8为本申请实施例提供的装置中发现单元530的另一种实施方式的示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
在上下文中所称“计算机设备”,也称为“电脑”,是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。
所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
下面结合附图对本申请作进一步详细描述。
图1为本申请一个实施例的发现DDoS攻击方法流程图。根据本申请的方法1至少包括步骤110、步骤120和步骤130。本申请能够基于目前能够获取到的DDoS攻击程序样本,查找控制该类型的DDoS攻击的中控主机以及被攻击的目标主机。
参考图1,在步骤110中,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议。
黑客入侵有安全漏洞的主机获取控制权,并在每台被入侵的主机中安装DDoS攻击程序,其中,被黑客入侵并控制的主机为傀儡机。发动DDoS攻击时,黑客通过中控主机控制这些傀儡机向目标主机发动DDoS攻击。中控主机上被黑客事先安装了DDoS攻击控制程序,该DDoS攻击控制程序用于与傀儡机上安装的DDoS攻击程序进行通信,以控制傀儡机向目标主机发起DDoS攻击。中控主机(DDoS攻击控制程序)通过预先约定的网络协议与多个傀儡机(DDoS攻击程序)进行网络通信,以便向傀儡机下达DDoS攻击指令。因此,根据DDoS攻击程序样本可以分析出中控主机与傀儡机进行通信的网络协议。所述网络协议包括但不限于:上线协议、心跳包、发动攻击时的指令协议和停止攻击时的指令协议。
步骤S110的具体实现方式包括但不限于以下两种:
(1)对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS样本所使用的网络协议。
具体地,将所述DDoS攻击程序样本的机器代码翻译成汇编代码,根据翻译成的汇编代码分析出所述DDoS攻击程序样本处理网络协议的代码实现逻辑,从而还原出所述DDoS攻击程序样本所使用的网络协议。
(2)运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
具体而言,在任意一台主机上运行所述DDoS攻击程序样本,并在运行所述DDoS攻击程序样本的主机上进行抓包分析,通过抓包分析即可分析出所述DDoS攻击程序样本所使用的网络协议。进行抓包分析时,可以使用现有的抓包软件。
参考图1,在步骤120中,在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机。
中控主机通过预先约定的网络协议与多个傀儡机进行网络通信,以便下达DDoS攻击指令。因此,向网络上的各个主机发送所述网络协议的数据包,并检测各个主机返回的数据包是否与协议期望的数据包相同,能查找到运行所述网络协议的DDoS攻击控制程序的主机,并可以确定为控制DDoS攻击的中控主机。
具体地,可以将所述网络协议输入到基于网络协议探测的扫描器程序,由该扫描器程序根据所述网络协议进行全网扫描,以扫描出控制DDoS攻击的中控主机。利用扫描器程序可以通过执行以下的步骤S121~S123扫描出控制DDoS攻击的中控主机,并输出扫描出的中控主机的IP地址列表,以备下一个步骤(步骤S130)中使用。
参考图2,步骤S120具体包括以下步骤:
步骤S121,向网络中的各个主机发送所述网络协议的数据包。
步骤S122,检测接收到的各个主机返回的数据包是否与预定结果匹配。
步骤S123,将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
所述预定结果就是所述网络协议所期望的使用所述网络协议的主机在接收到所述网络协议的数据包时回复的应答结果。如果一个主机返回的数据包与预定结果匹配,则表示该主机上运行着基于该网络协议进行通信的DDoS中控程序,则可以将该主机确定为控制DDoS攻击的中控主机。例如,向各个主机发送数据包“aaabbbccc”,期望的回复是“haha”,如果某个主机回复的是“haha”,则认为是运行该DDoS攻击控制程序的中控主机,反之,则认为不是运行该DDoS攻击控制程序的中控主机。
参考图1,在步骤130中,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
参考图3,在一个具体实施方式中,步骤S130具体包括以下步骤:
步骤S131,向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机。
中控主机在发动DDoS攻击时,通过预先约定的网络协议与其控制的多台傀儡机进行通信,因此,根据分析出的该DDoS攻击程序样本的网络协议与扫描出的各个中控主机进行通信能够模拟成傀儡机,以便对各个中控主机进行监控。具体而言,向扫描出的各个中控主机发送所述网络协议中的上线协议,以表明可以接收其指令,从而伪装成傀儡机。
步骤S132,接收扫描出的各个中控主机中的至少一个下达的攻击指令;
当中控主机准备发动攻击时,会向各个傀儡机下达攻击指令,因此,模拟成的傀儡机会接收到发动攻击的中控主机下达的攻击指令。
步骤S133,通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
接收到攻击指令后,对指令数据进行解析,能够提取出攻击目标(目标主机)的IP地址、发动攻击的中控主机的IP地址以及攻击类型。所述攻击类型例如,TCP SYN攻击、UDP flood攻击(UDP洪水攻击)、CC攻击、DNS反射等。
参考图4,在上述具体实施方式的基础上,步骤S130还包括步骤S134。
步骤S134,向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
心跳包是在客户端和服务器间按照一定的时间间隔发送的、用于通知对方自己状态的一个自定义的结构体。在某些网络协议中,要求按一定的时间间隔发送心跳包,报告自己的状态,因此,如果分析出的所述DDoS的网络协议中包含心跳包,则需要向各个中控主机发送所述网络协议中的心跳包,以便在没有发生DDoS攻击时维持与各个中控主机的通信连接。步骤S134,可以在没有接收到中控主机下达的攻击指令时执行,以维持与各个中控主机的连接。
应注意,上述步骤S110、步骤S120和步骤S130可以在同一设备中执行,亦可在不同设备中执行,例如,为提高各个步骤执行的性能可以分别在不同的计算机上执行。
基于上述实施例,本申请的方法还可以包括将提取出的攻击目标的IP地址、中控主机的IP地址以及攻击类型进行输出显示的步骤。还可以将提取的攻击目标的IP地址(目标主机的IP地址)、中控主机的IP地址以及攻击类型发送给攻击目标,以便受到攻击的主机采取DDoS防御措施。
现有的DDoS防御***,只能获知被哪些傀儡机所攻击,并不能获知控制傀儡机发起攻击的中控主机,也就很难关联出背后的真正攻击者是谁。与之相比,本申请能够获知控制傀儡机发起攻击的中控主机,进而可以关联出背后的真正攻击者。本申请对控制傀儡机发动攻击的中控主机进行监控,在攻击发起的初始时刻,就能够获取其要攻击的目标主机,以及使用的攻击方式。
基于与方法同样的发明构思,本申请还提供一种发现DDoS攻击的装置。图5所示为发现DDoS的装置5示意图,该装置包括:
分析单元510,用于对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;
查找单元520,用于在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;
发现单元530,用于根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
可选地,所述分析单元510进一步用于:
对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。
可选地,所述分析单元510进一步用于:
运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
图6为根据本申请一个实施例的查找单元520的结构示意图。参考图6,可选地,所述查找单元520包括:
发送单元521,用于向网络中的各个主机发送所述网络协议的数据包;
检测单元522,用于检测接收到的各个主机返回的数据包是否与预定结果匹配;
确定单元523,用于将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
图7为根据本申请实施例的发现单元530的一种具体实施方式的结构示意图。参考图7,所述发现单元530包括:
模拟单元531,用于向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;
接收单元532,用于接收扫描出的各个中控主机中至少一个下达的攻击指令;
解析单元533,用于通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
图8为根据本申请实施例的发现单元530的另一种实施方式的结构示意图。参考图8,基于图7所示的实施方式,所述发现单元530还包括:
心跳包发送单元534,用于向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
可选地,该装置5还包括:输出单元,用于将提取出的攻击目标的IP地址、中控主机的IP地址以及攻击类型进行输出显示。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,本申请的各个装置可采用专用集成电路(ASIC)或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。***权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
虽然前面特别示出并且描述了示例性实施例,但是本领域技术人员将会理解的是,在不背离权利要求书的精神和范围的情况下,在其形式和细节方面可以有所变化。
Claims (14)
1.一种发现DDoS攻击的方法,其特征在于,该方法包括以下步骤:
对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;
在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;
根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
2.根据权利要求1所述的方法,其特征在于,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:
对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。
3.根据权利要求1所述的方法,其特征在于,对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议的步骤包括:
运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
4.根据权利要求1所述的方法,其特征在于,在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机的步骤包括:
向网络中的各个主机发送所述网络协议的数据包;
检测接收到的各个主机返回的数据包是否与预定结果匹配;
将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
5.根据权利要求1所述的方法,其特征在于,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤包括:
向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;
接收扫描出的各个中控主机中至少一个下达的攻击指令;
通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
6.根据权利要求5所述的方法,其特征在于,根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击的步骤还包括:
向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
7.根据权利要求5所述的方法,其特征在于,还包括:将提取出的攻击目标IP地址、中控主机的IP地址以及攻击类型进行输出显示。
8.一种发现DDoS攻击的装置,其特征在于,该装置包括:
分析单元,用于对DDoS攻击程序样本进行网络协议分析,以提取出所述DDoS攻击程序样本所使用的网络协议;
查找单元,用于在网络上查找运行有基于所述网络协议的DDoS攻击控制程序的主机,以确定为控制DDoS攻击的中控主机;
发现单元,用于根据所述网络协议模拟受中控主机控制的傀儡机,以便接收到所述各个中控主机向傀儡机下达的攻击指令而发现攻击。
9.根据权利要求8所述的装置,其特征在于,所述分析单元进一步用于:
对所述DDoS攻击程序样本进行反汇编分析,以还原出所述DDoS攻击程序样本所述使用的网络协议。
10.根据权利要求8所述的装置,其特征在于,所述分析单元进一步用于:
运行所述DDoS攻击程序样本,以通过抓包分析来分析出所述DDoS攻击程序样本所使用的网络协议。
11.根据权利要求8所述的装置,其特征在于,所述查找单元包括:
发送单元,用于向网络中的各个主机发送所述网络协议的数据包;
检测单元,用于检测接收到的各个主机返回的数据包是否与预定结果匹配;
确定单元,用于将返回的数据包与预定结果匹配的主机确定为控制DDoS攻击的中控主机。
12.根据权利要求8所述的装置,其特征在于,所述发现单元包括:
模拟单元,用于向扫描出的各个中控主机发送所述网络协议中的上线协议,以模拟受中控主机控制的傀儡机;
接收单元,用于接收扫描出的各个中控主机中至少一个下达的攻击指令;
解析单元,用于通过解析所述攻击指令,提取出攻击目标的IP地址、中控主机的IP地址以及攻击类型。
13.根据权利要求12所述的装置,其特征在于,所述发现单元还包括:
心跳包发送单元,用于向所述各个中控主机发送所述网络协议的心跳包,以维持与所述各个中控主机的通信连接。
14.根据权利要求12所述的装置,其特征在于,还包括:输出单元,用于将提取出的攻击目标的IP地址、中控主机的IP地址以及攻击类型进行输出显示。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510990022.1A CN106921612A (zh) | 2015-12-24 | 2015-12-24 | 发现DDoS攻击的方法及装置 |
| PCT/CN2016/109604 WO2017107804A1 (zh) | 2015-12-24 | 2016-12-13 | 发现DDoS攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510990022.1A CN106921612A (zh) | 2015-12-24 | 2015-12-24 | 发现DDoS攻击的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106921612A true CN106921612A (zh) | 2017-07-04 |
Family
ID=59089090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510990022.1A Pending CN106921612A (zh) | 2015-12-24 | 2015-12-24 | 发现DDoS攻击的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106921612A (zh) |
| WO (1) | WO2017107804A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200041A (zh) * | 2017-12-28 | 2018-06-22 | 贵阳忆联网络有限公司 | 一种防护ddos攻击的方法及*** |
| CN112398781A (zh) * | 2019-08-14 | 2021-02-23 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112261029B (zh) * | 2020-10-16 | 2023-05-02 | 北京锐驰信安技术有限公司 | 一种基于养殖的DDoS恶意代码检测及溯源方法 |
| CN113515750B (zh) * | 2021-07-22 | 2022-06-28 | 苏州知微安全科技有限公司 | 一种高速流量下的攻击检测方法及装置 |
| CN114844666B (zh) * | 2022-03-16 | 2023-06-06 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN114866347B (zh) * | 2022-07-06 | 2022-09-30 | 浙江御安信息技术有限公司 | 一种基于人工智能进行DDoS攻击识别的网络安全预警方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、***和设备 |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
| US20130074183A1 (en) * | 2011-09-16 | 2013-03-21 | Electronics And Telecommunications Research Institute | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
-
2015
- 2015-12-24 CN CN201510990022.1A patent/CN106921612A/zh active Pending
-
2016
- 2016-12-13 WO PCT/CN2016/109604 patent/WO2017107804A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321171A (zh) * | 2008-07-04 | 2008-12-10 | 北京锐安科技有限公司 | 一种检测分布式拒绝服务攻击的方法及设备 |
| CN101360019A (zh) * | 2008-09-18 | 2009-02-04 | 华为技术有限公司 | 一种僵尸网络的检测方法、***和设备 |
| US20130074183A1 (en) * | 2011-09-16 | 2013-03-21 | Electronics And Telecommunications Research Institute | Method and apparatus for defending distributed denial-of-service (ddos) attack through abnormally terminated session |
| CN102546298A (zh) * | 2012-01-06 | 2012-07-04 | 北京大学 | 一种基于主动探测的僵尸网络家族检测方法 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200041A (zh) * | 2017-12-28 | 2018-06-22 | 贵阳忆联网络有限公司 | 一种防护ddos攻击的方法及*** |
| CN112398781A (zh) * | 2019-08-14 | 2021-02-23 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
| CN112398781B (zh) * | 2019-08-14 | 2022-04-08 | 大唐移动通信设备有限公司 | 一种攻击测试方法、主机服务器及控制服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017107804A1 (zh) | 2017-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106921612A (zh) | 发现DDoS攻击的方法及装置 | |
| CN109067815B (zh) | 攻击事件溯源分析方法、***、用户设备及存储介质 | |
| CN108629180B (zh) | 异常操作的确定方法和装置、存储介质、电子装置 | |
| CN101582833B (zh) | 一种伪造ip数据包的处理方法及装置 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN107786564B (zh) | 基于威胁情报的攻击检测方法、***及电子设备 | |
| CN105991628A (zh) | 网络攻击的识别方法和装置 | |
| KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
| CN108400955B (zh) | 一种网络攻击的防护方法及*** | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| US9866575B2 (en) | Management and distribution of virtual cyber sensors | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN109150848A (zh) | 一种基于Nginx的蜜罐的实现方法及*** | |
| CN104765682A (zh) | 跨站脚本漏洞的线下检测方法和*** | |
| CN106789849A (zh) | Cc攻击识别方法、节点及*** | |
| CN106878240A (zh) | 僵尸主机识别方法及装置 | |
| Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers | |
| CN109189972A (zh) | 一种目标行踪确定方法、装置、设备及计算机存储介质 | |
| CN105939328A (zh) | 网络攻击特征库的更新方法及装置 | |
| CN103440454B (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
| CN109495471A (zh) | 一种对web攻击结果判定方法、装置、设备及可读存储介质 | |
| CN112583841B (zh) | 虚拟机安全防护方法及***、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170704 |
|
| RJ01 | Rejection of invention patent application after publication |