資源描述:
《ddos攻擊ip追蹤及攻擊源定位技術(shù)研究》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1、DDoS攻擊IP追蹤及攻擊源定位技術(shù)研究第32卷V_ot.32第l4期№l4計算機工程ComputerEngineering2006年7月July2006?安全技術(shù)?文章編號:lo0o_-3428(2006)l4__ol5l—03文獻(xiàn)標(biāo)識碼:A中圖分類號:TP309DDoS攻擊IP追蹤及攻擊源定位技術(shù)研究蔡瑋瑁1,2,3黃皓0(1.南京大學(xué)計算機科學(xué)與技術(shù)系,南京210093;2.南京大學(xué)軟件新技術(shù)國家重點實驗室,南京210093;3.南昌陸軍學(xué)院科文教研室,南昌330103)奠要:IP追蹤和攻擊源定位技術(shù)在DDoS攻擊防御研究中有重要意
2、義.文章對當(dāng)前現(xiàn)有的IP追蹤和攻擊源定位技術(shù)作了系統(tǒng)的分類分另Ⅱ?qū)λ鼈冏髁巳娴姆治霾⒈容^了相互之間的異同及優(yōu)缺點.針對當(dāng)前的IP追蹤和攻擊源定位技術(shù)現(xiàn)狀討論了其未來發(fā)展趨勢.關(guān)蝴:IP追蹤;攻擊源定位;DDoS攻擊IP.TracingandSource?findingTechnologyResearchonDDoSAttackCAIWeijun∞.HUANGHa0,(I.DepartmentofComputerScience&Technology,NanjingUniversity,Nanjing210093;2.StateKe
3����、yLaboratoryforNovelSoftwareTechnology.NanjingUniversity,Nanjing210093;3.ScienceandCultureTeaching&ResearchSection.NanchangMilitaryAcademy.Nanchang330103)[AbstraalIPtracingandsource—findingtechnologyhasgreatsignificanceinanti—DDoSattack.ThispaperclassifiespresentIPtrac
4����、ingandsource—findingtechnologysystemically,analyzesvariousIPtracingandsource—findingtechnologycomprehensive1y,andcomparesthemeachother.ItdiscussesthedevelopmenttrendofIPtracingandsource—findingtechnologyinthebasisofcurrentlystatus.[Keywordsl1Ptracing;Attacksourcefinding;D
5、DoSattack1目前追蹤技術(shù)的分析和比較廣記錄法-I_基于hash函數(shù)路徑追蹤(sPIE)量妻后IF罱薹法寸糊黼法_}一…船I產(chǎn)生ICMP追蹤rITrace機制毒l在消息源-L目的驅(qū)動的iTm..機制矢L-蘭蹤q-鏈路測試法-1_可控泛洪cF(ProactiveTracing)和反應(yīng)追蹤(ReactiveTracing)11~本文綜合上面的分類方法對當(dāng)前的追蹤定位技術(shù)分類如圖l所示.1.2追蹤定位技術(shù)分析追蹤定位過程一般包括兩個階段:追蹤信息的產(chǎn)生(路由器在轉(zhuǎn)發(fā)的包中標(biāo)記追蹤信息或直接產(chǎn)生追蹤消息)和攻擊路徑重構(gòu)或逐跳追蹤回溯(pus
6�����、hback)找到攻擊源.1.2.1在攻擊完成后追蹤及攻擊源定位(1)數(shù)據(jù)包日志記錄法路由器具有日志功能,可以使用數(shù)據(jù)融合,數(shù)據(jù)挖掘等技術(shù)從大量的記錄日志中提取攻擊信息整理出攻擊路徑.為了提高效率,Snoeren等人提出基于hash表的源路徑隔離引擎SPIE(SourcePathIsolationEngine)方法.SPIE在路由器上計算和存儲轉(zhuǎn)發(fā)的每個IP數(shù)據(jù)分組32位hash摘要,檢測到攻擊后可以根據(jù)攻擊數(shù)據(jù)分組在相關(guān)的hash值域內(nèi)查詢路由器,構(gòu)造出給定數(shù)據(jù)包的路徑.(2)分組標(biāo)記法分組標(biāo)記法是一種前攝追蹤方法(ProactiveTr
7、acing),不論DDoS攻擊是否發(fā)生,路由器都對轉(zhuǎn)發(fā)的IP分組進行標(biāo)記.它以收斂時間(受害主機重構(gòu)出攻擊路徑所需要的分組數(shù)量)作為性能指標(biāo).1)IP分組路徑記錄法分組標(biāo)記最簡單的方法就是IP分組路徑記錄法:在IP分組首部源路徑記錄選項中記錄分組經(jīng)過的各個路由器IP基金項目:國家"863"計劃基金資助項目"智能入侵檢測與攻擊預(yù)警系統(tǒng)"(2003AA142010);江蘇省高技術(shù)計劃"計算機網(wǎng)絡(luò)分布式主動防御,監(jiān)控與預(yù)警技術(shù)研究"(BG2004030)作者倚介:蔡瑋瑤(I976一),女,碩士生,主研方向:計算機網(wǎng)絡(luò)與安全;黃皓,教授,博導(dǎo)收稿
8�、日期:2005—12-09E-mail:halencai@163.com—l5l一地址.這樣只需一個分組就可定位攻擊源.但I(xiàn)P首部記錄路由選項最多可記錄9個IP地址,而路徑長度預(yù)先不可知,故無
