[发明专利]基于TTL的中间人劫持位置探测方法

权利要求书

1.基于TTL的中间人劫持位置探测方法，其特征在于，包括：

S1、Linux服务器的两个网口分别作为镜像网口和发包网口，镜像网口用与接收当前节点设备的镜像网络流量，发包网口接入互联网；

S2、Linux服务器的镜像网口连接节点设备的镜像口，对镜像口的流量进行全流量捕获，并实时进行TCP/UDP劫持检测，当检测某条流量存在TCP/UDP劫持时，进入S3；

S3、根据检测出的劫持流量构造traceroute命令对应的ICMP请求数据包，并通过发包网口发送该ICMP请求数据包，ICMP请求数据包的TTL值以初始值a和公差b的形式递增；

S4、根据检测出的劫持流量的五元组信息，构造探测流量数据包；若检测为TCP劫持，则进入S5；若检测为UDP劫持，则进入S6；

S5、拷贝检测流的SYN数据包信息，并通过发包网口进行发送，在镜像网口抓取到服务器应答的SYN ACK数据包后，封装ACK数据，并通过发包网口进行发送，完成三次握手过程，提取TCP劫持链接中三次握手后客户端给服务端发送的TCP数据请求载荷，封装TCP请求报文，通过发包网口把请求报文发送出去，并进入S7；

S6、拷贝检测流的UDP请求数据包，并提取UDP劫持数据客户端给服务端发送的UDP数据请求载荷，封装UDP请求报文，通过发包网口把请求报文发送出去，并进入S7；

S7、判断是否收到劫持应答数据，若是则进入S9；反之则进入S8；

S8、判断当下TTL值是否等于阈值，若否，则递增TTL值，并返回S4；反之则间隔时间T后，令TTL值为初始值a，再返回S4；

S9、当TTL值为N未收到劫持数据，但TTL值为N+b时客户端请求数据被劫持，通过镜像口抓取的ICMP应答数据包进行计算服务端IP路由，则说明TTL值为N对应的服务端IP路由和TTL为N+b对应的服务端IP路由之间存在劫持。

2.根据权利要求1所述的基于TTL的中间人劫持位置探测方法，其特征在于，在S3中a为1，b为1。

3.根据权利要求1所述的基于TTL的中间人劫持位置探测方法，其特征在于，在S5中，拷贝检测流的SYN数据包信息之后，在内存中修改SYN数据包IP头部的Identification字段、IP校验和、TTL值设置为1、TCP源端口、TCP的SEQ初始值、TCP校验和，再通过发包网口进行发送。

4.根据权利要求1所述的基于TTL的中间人劫持位置探测方法，其特征在于，在S6中，拷贝检测流的UDP请求数据包之后，在内存中修改IP头部的Identification字段、IP校验和、TTL值设为1、UDP源端口、UDP校验和字段。

5.根据权利要求1所述的基于TTL的中间人劫持位置探测方法，其特征在于，在S3中，ICMP请求数据包的源IP为劫持流的客户端IP地址，目的IP为劫持流的服务端IP地址。

6.根据权利要求5所述的基于TTL的中间人劫持位置探测方法，其特征在于，在S9中，通过镜像口抓取的ICMP应答数据包进行计算，当TTL值增加为N时，收到ICMP应答数据包，则判断前节点设备与服务端IP路由之间的距离为N跳，记录路由跳数N以及发送的ICMP请求数据包经过的服务端IP路由地址列表IP_LIST＝{IP_1、IP_2...IP_N},根据发送的ICMP请求数据包TTL值计算IP_1、IP_2...IP_N距离当前节点设备的路由跳数分别为1、2...N。