技術領域

本發明涉及通信技術領域，特別涉及一種單向流檢測模式下的流量檢測 方法和設備。

背景技術

分布式拒絕服務攻擊(Distribution?Denial?of?Service，DDoS)一般具備攻 擊流量大、攻擊源多、難以過濾、攻擊源IP真假難辨、攻擊者間接攻擊身份隱 蔽等特點。

目前常見的攻擊檢測模式有單向流檢測和雙向流檢測兩種。

單向流檢測只對目的IP地址為被保護IP的流量進行檢測，由被保護IP發出 的流量不做檢測。但由于該模式只能看到一個方向的流，因此有些情況比較 難判斷是否有攻擊發生。

雙向流檢測對發往被保護IP的流量和被保護IP發出的流量同時做檢測。由 于該模式能看到兩個方向的流，因此檢測效果要好于單向流檢測模式。

由于單向流環境下看不到雙向流信息，所以通常只能采用單向流檢測模 式進行攻擊檢測。而如果在單向流環境下要看到另一方向的流信息，則需要 改變網絡拓撲，使得另一方向的流量也經過檢測設備。

如圖1所示的應用場景中，進入被保護服務器的流量經過檢測設備，而保 護服務器流出的流量走交換機2，不經過檢測設備。

在此情況下，如果要實現雙向流檢測則需要改變網絡拓撲，增加圖中所 示的交換機2和檢測設備之間的鏈路。

由于單向流環境只能看到一個方向上的流信息，所以，目前通常采用以 上單向流檢測模式，只對目的IP地址為被保護IP的流量進行檢測，而對由被保 護IP發出的流量，則不做檢測。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：

單向流檢測模式由于只能看到一個方向的流信息，因此，有些情況比較 難判斷是否有攻擊發生。

對于常見的傳輸控制協議同步洪泛(Transmission?Control?Protocol synchronize?Flood，TCP?SYN?Flood)攻擊，可以利用TCP協議交互特征采用 SYN?Cookie等機制對虛假源IP進行有效識別。但在攻擊源IP合法的情況下， 這種檢測機制則很難起效。

攻擊者可以通過合法源IP向被保護的超文本傳輸協議(HyperText?Transfer Protocol，HTTP)服務器發起連接請求，并以較低的速率以遞歸的方式獲取 HTTP服務器上的所有圖片或頁面資源，具體的，可以通過編寫頁面腳本較容 易實現，這樣可能會導致服務器處理性能下降，無法正常處理合法用戶的連 接請求，造成DDoS攻擊。

以上這種攻擊方式在單向流環境下很難進行有效識別，此時如果只是簡 單的通過限流限速等方式進行門限丟包，則一方面很容易對正常應用造成影 響，另一方面可能也達不到預期的防范效果。而如果能夠同時對保護服務器 流出的流量進行分析，則可以有效的識別出攻擊是否發生。

發明內容

本發明提供一種單向流檢測模式下的流量檢測方法和設備，在單向流環 境下實現對雙向流進行檢測，從而提高單向流環境防范DDoS攻擊的效果。

為達到上述目的，本發明一方面提供了一種單向流檢測模式下的流量檢 測方法，應用于包括檢測設備、待檢測設備和至少一個對端設備的系統中， 所述待檢測設備與所述對端設備之間進行報文交互，所述檢測設備檢測所述 對端設備向所述待檢測設備發送的流量信息，所述方法具體包括以下步驟：

所述檢測設備獲取所述待檢測設備所接收到的各條報文的序列號信息和 確認號信息；

所述檢測設備根據所述待檢測設備所接收到的各條報文的序列號信息和 確認號信息，確定所述待檢測設備向所述對端設備發送的流量信息；

所述檢測設備根據確定的所述待檢測設備向所述對端設備發送的流量信 息，對所述待檢測設備進行流量檢測。

優選的，所述檢測設備根據所述待檢測設備所接收到的各條報文的序列 號信息和確認號信息，確定所述待檢測設備向所述對端設備發送的流量信息， 具體為：

所述檢測設備根據所述各條報文的序列號信息和所檢測到的所述各條報 文的大小，確定所述各條報文的相鄰關系；

所述檢測設備根據各條相鄰報文的確認號信息，確定所述待檢測設備在 各條相鄰報文之間向所述對端設備發送的流量信息。

優選的，所述檢測設備根據所述各條報文的序列號信息和所檢測到的所 述各條報文的大小，確定所述各條報文的相鄰關系，具體為：