[发明专利]基于TTL的中间人劫持位置探测方法

说明书

本发明公开了涉及基于TTL的中间人劫持位置探测方法，劫持位置探测领域，包括S1、服务器的两个网口分别作为镜像网口和发包网口；S2、捕获镜像口流量，检测劫持，存在劫持，进S3；S3构造ICMP请求数据包，发包网口发送；S4构造探测流量数据包；TCP劫持进S5；UDP劫持进S6；S5拷贝SYN数据包信息，发包网口发送，完成三次握手，提取TCP数据请求载荷，封装TCP请求报文，发包网口发送，进S7；S6拷贝UDP请求数据包，提取UDP数据请求载荷，封装UDP请求报文，发包网口发送，进S7；S7、是否收到应答，是进S9；反之进S8；S8当下TTL值是否等于阈值，若否，递增TTL值返回S4；反之间隔时间后，返回S4；S9确定劫持位置；解决了基于TTL的中间人劫持点所处的区域定位问题。

技术领域

本发明涉及劫持位置探测领域，尤其涉及一种基于TTL的中间人劫持位置探测方法。

背景技术

在互联网发展的今天，各种攻击手段层出不穷，特别是现在的地缘性攻击愈演愈烈。区域内发现存在网络流量攻击时候，除了及时止损外，对攻击源的溯源工作也尤为重要。当检测出流量中存在攻击行为时，根据服务端IP地址溯源，通常只能得出客户端IP地址和服务器IP地址间存在攻击行为，但是攻击具体发生的区域则无法通过IP地址的分析而得出结论。

发明内容

本发明的目的就在于为了解决上述问题设计了一种基于TTL的中间人劫持位置探测方法。

本发明通过以下技术方案来实现上述目的：

基于TTL的中间人劫持位置探测方法，包括：

S1、Linux服务器的两个网口分别作为镜像网口和发包网口，镜像网口用与接收当前节点设备的镜像网络流量，发包网口接入互联网；

S2、Linux服务器的镜像网口连接节点设备的镜像口，对镜像口的流量进行全流量捕获，并实时进行TCP/UDP劫持检测，当检测某条流量存在TCP/UDP劫持时，进入S3；

S3、根据检测出的劫持流量构造traceroute命令对应的ICMP请求数据包，并通过发包网口发送该ICMP请求数据包，ICMP请求数据包的TTL值以初始值a和公差b的形式递增；

S4、根据检测出的劫持流量的五元组信息，构造探测流量数据包；若检测为TCP劫持，则进入S5；若检测为UDP劫持，则进入S6；

S5、拷贝检测流的SYN数据包信息，并通过发包网口进行发送，在镜像网口抓取到服务器应答的SYNACK数据包后，封装ACK数据，并通过发包网口进行发送，完成三次握手过程，提取TCP劫持链接中三次握手后客户端给服务端发送的TCP数据请求载荷，封装TCP请求报文，通过发包网口把请求报文发送出去，并进入S7；

S6、拷贝检测流的UDP请求数据包，并提取UDP劫持数据客户端给服务端发送的UDP数据请求载荷，封装UDP请求报文，通过发包网口把请求报文发送出去，并进入S7；

S7、判断是否收到劫持应答数据，若是则进入S9；反之则进入S8；

S8、判断当下TTL值是否等于阈值，若否，则递增TTL值，并返回S4；反之则间隔时间T后，令TTL值为初始值a，再返回S4；

S9、当TTL值为N未收到劫持数据，但TTL值为N+b时客户端请求数据被劫持，通过镜像口抓取的ICMP应答数据包进行计算服务端IP路由，则说明TTL值为N对应的服务端IP路由和TTL为N+b对应的服务端IP路由之间存在劫持。