一种城域网路由流量虚假源地址分析方法及装置与流程

1.本发明涉及运营商的城域网运维领域，尤其是一种城域网路由流量虚假源地址分析方法及装置。


背景技术：

2.在运营商的城域网运维当中，经常发生攻击流量，在攻击发生时，攻击流量往往采用冒充源地址的方式进行流量攻击，以便让网络分析人员无法溯源，在攻击发生时不能快速对攻击流量进行定位。


技术实现要素：

3.为了解决上述存在的技术问题，本发明提供一种城域网路由流量虚假源地址分析方法及装置，采用实时对接网络中设备的路由和流量信息，并通过路由和流量的实时结合，快速定位虚假源地址的数据包位置，从而帮助运维人员快速排出故障，降低运维成本和复杂度，并提升准确度和效率。
4.为实现上述目的，本发明采用下述技术方案：
5.在本发明一实施例中，提出了一种城域网路由流量虚假源地址分析方法，该方法包括：
6.路由采集器收集网络设备的路由，并依据路由特性自动分析出路由地址段；
7.netflow采集服务器与网络设备建立netflow协议连接，获取网络设备的流量流向中的源ip，并对源ip按地址段进行标记；
8.根据上述标记的源ip，快速分析出虚假源地址，并快速对其所在的设备进行定位。
9.进一步地，路由采集器收集网络设备的路由，包括：
10.路由采集器与网络设备建立bgp邻居，收集bgp路由，以及路由采集器与as内部的路由反射器建立连接，收集整个as内部的路由。
11.进一步地，对源ip按地址段进行标记，包括：
12.若路由采集器与网络设备建立bgp邻居，则查看该网络设备的路由地址段是否包含对应的源ip，若包含则打上设备标签，否则打上未知标签；
13.若路由采集器与as内部的路由反射器建立连接，则查看整个as的路由地址段是否包含对应的源ip，若包含则打上as标签，否则打上未知标签。
14.进一步地，根据上述标记的源ip，快速分析出虚假源地址，并快速对其所在的设备进行定位，包括：
15.根据上述标记的源ip，分析出打上未知标签的即为虚假源地址；
16.通过打上设备标签的源ip，定位出虚假源地址所在设备。
17.在本发明一实施例中，还提出了一种城域网路由流量虚假源地址分析装置，该装置包括：
18.路由收集并识别模块，用于通过路由采集器收集网络设备的路由，并依据路由特
性自动分析出路由地址段；
19.流量收集并标记源ip模块，用于通过netflow采集服务器与网络设备建立netflow协议连接，获取网络设备的流量流向中的源ip，并对源ip按地址段进行标记；
20.虚假源地址分析并定位模块，用于根据上述标记的源ip，快速分析出虚假源地址，并快速对其所在的设备进行定位。
21.进一步地，路由采集器收集网络设备的路由，包括：
22.路由采集器与网络设备建立bgp邻居，收集bgp路由，以及路由采集器与as内部的路由反射器建立连接，收集整个as内部的路由。
23.进一步地，对源ip按地址段进行标记，包括：
24.若路由采集器与网络设备建立bgp邻居，则查看该网络设备的路由地址段是否包含对应的源ip，若包含则打上设备标签，否则打上未知标签；
25.若路由采集器与as内部的路由反射器建立连接，则查看整个as的路由地址段是否包含对应的源ip，若包含则打上as标签，否则打上未知标签。
26.进一步地，虚假源地址分析并定位模块，具体用于：
27.根据上述标记的源ip，分析出打上未知标签的即为虚假源地址；
28.通过打上设备标签的源ip，定位出虚假源地址所在设备。
29.在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述城域网路由流量虚假源地址分析方法。
30.在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行城域网路由流量虚假源地址分析方法的计算机程序。
31.有益效果：
32.1、本发明实时动态感知路由变化，从而准确分析出设备对应的地址段。
33.2、本发明通过路由和netflow数据的动态结合从而快速定位虚假源地址和位置。
附图说明
34.图1是本发明一实施例的城域网路由流量虚假源地址分析方法流程示意图；
35.图2是本发明一实施例的路由及流量收集示意图；
36.图3是本发明一实施例的网络设备路由收集示意图；
37.图4是本发明一实施例的通过netflow协议对流量流向数据收集示意图；
38.图5是本发明一实施例的城域网路由流量虚假源地址分析装置结构示意图；
39.图6是本发明一实施例的计算机设备结构示意图。
具体实施方式
40.下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
41.本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法
或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
42.根据本发明的实施方式，提出了一种城域网路由流量虚假源地址分析方法及装置，在运营商的城域网出口中，通过对bgp路由的接收，并依据路由特性自动分析出城域网内部的路由地址段，并基netflow的流量流向中的源ip进行检测，分析出该城域网的虚假源地址信息。
43.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
44.图1是本发明一实施例的城域网路由流量虚假源地址分析方法流程示意图。如图1所示，该方法包括：
45.1、路由收集
46.收集路由可以分为两种情况：
47.(1)和网络设备直接对接建立邻居
48.如图2和图3所示，通过路由采集器和网络设备建立ibgp(用在as内部的bpg协议)会话，收取as内部的bgp路由，并通过对接的邻居ip来判断路由是从哪一台路由器播放出来的，主要是依据收集到的bgp路由，分析出该设备下包含的路由地址段，这种情况下主要是通过bgp路由区分具体路由器播发的地址段。
49.(2)和as内部的路由反射器rr建立连接
50.当和as内部的路由反射器rr建立连接，主要目的是通过rr收取整个as内部的路由，以便对整个as的路由进行接收，主要通过路由属性中的aspath为空来区分，在接收到整个as的路由时，可以对整个城域网出口的netflow流量进行检测，从全局发现虚假源地址的流量。
51.2、通过netflow协议对流量流向数据进行收集
52.如图2和图4所示，通过netflow采集服务器和网络设备通过netflow协议进行对接，netflow采集服务器会收到相关的netflow协议报文，从报文中获取到对应流量的源ip和端口索引信息、输出的设备信息，对源ip按地址段进行标记分为如下两种情况：
53.(1)如果是和网络设备直接建立邻居的，则查看该网络设备的路由地址段是否包含对应的源ip，如果包含则打上设备标签，如果不包含则打上未知标签；
54.(2)如果是和路由反射器建立连接的，则查看整个as的路由地址段是否包含对应的源ip，如果包含则打上as标签，如果不包含则打上未知标签。
55.3、流量流向数据和路由数据比对以及定位
56.通过步骤2的打标签，可以判断出打上未知标签的即为流量虚假源地址,，通过as层级可以查看出整个城域网的流量虚假源地址，再通过未知的设备标签，查看某台设备的虚假源地址，从而快速定位虚假源地址流量从哪台设备进入网络的，为快速处理网络攻击提供依据。
57.需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
58.为了对上述基于新型城域网拓扑快速生成功能配置的方法进行更为清楚的解释，
下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。
59.实施例：
60.假设在某个运营商的城域网判断这个城域网的流量中的虚假ip地址，该城域网as号假定为asx；
61.首先和运营商城域网中的路由反射器对接路由，收到路由后通过aspath为空来判断这个城域网中的路由条目，获取到城域网内部的路由条目集合a；
62.接着在城域网出口获取到出口的netflow流量，并对源ip在集合a范围内的打上asx的标签，如果不在集合a范围内则打上未知的标签。
63.所有未打上asx标签的源ip即是虚假的源地址，形成虚假源地址报告。
64.基于同一发明构思，本发明还提出一种城域网路由流量虚假源地址分析装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
65.图5是本发明一实施例的城域网路由流量虚假源地址分析装置结构示意图。如图5所示，该装置包括：
66.路由收集并识别模块101，用于通过路由采集器收集网络设备的路由，并依据路由特性自动分析出路由地址段；
67.路由采集器收集网络设备的路由，包括：
68.路由采集器与网络设备建立bgp邻居，收集bgp路由，以及路由采集器与as内部的路由反射器建立连接，收集整个as内部的路由。
69.流量收集并标记源ip模块102，用于通过netflow采集服务器与网络设备建立netflow协议连接，获取网络设备的流量流向中的源ip，并对源ip按地址段进行标记；
70.对源ip按地址段进行标记，包括：
71.若路由采集器与网络设备建立bgp邻居，则查看该网络设备的路由地址段是否包含对应的源ip，若包含则打上设备标签，否则打上未知标签；
72.若路由采集器与as内部的路由反射器建立连接，则查看整个as的路由地址段是否包含对应的源ip，若包含则打上as标签，否则打上未知标签。
73.虚假源地址分析并定位模块103，用于根据上述标记的源ip，快速分析出虚假源地址，并快速对其所在的设备进行定位；具体如下：
74.根据上述标记的源ip，分析出打上未知标签的即为虚假源地址；
75.通过打上设备标签的源ip，定位出虚假源地址所在设备。
76.应当注意，尽管在上文详细描述中提及了城域网路由流量虚假源地址分析装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
77.基于前述发明构思，如图6所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述城域网路由流量虚假源地址分析方法。
78.基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述城域网路由流量虚假源地址分析方法的计算机程序。
79.本发明提出的城域网路由流量虚假源地址分析方法及装置，主要是通过bgp邻居收取网络设备的路由，并依据路由特性对路由进行自动区分，并对路由数据和流量流向数据进行比对从而快速分析出有哪些虚假源地址的流量，并快速对其所在的设备进行定位。
80.虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
81.对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。