資源描述:
《基于ip地址重拼接的ddos攻擊源追蹤算法》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1��、基于IP地址重拼接的DDOS攻擊源追蹤算法 摘要:為了提高對分布式拒絕服務(wù)(DDoS)攻擊源反向追蹤的效率和準(zhǔn)確度���,提出了一個(gè)新算法�����。此算法不同于AMS(AdvancedMarkingSchemes)算法��,是利用IP地址拼接技術(shù)�,重定義IP數(shù)據(jù)包頭部分字段��,利用一種新的路由器地址編碼格式����,使得一個(gè)數(shù)據(jù)包攜帶更多路由地址信息�����,提高重構(gòu)路徑的效率���,大幅降低誤報(bào)率�。相對于AMS算法,新算法明顯提高了IP反向追蹤的性能,降低了誤報(bào)率����。 關(guān)鍵詞:DDOS攻擊���;地址拼接;追蹤算法����;IP數(shù)據(jù)包 :TP393.08文獻(xiàn)標(biāo)志碼:A
2��、:1006-8228(2012)05-35-02 DDOSattacksourcetracingalgorithmbasedontheIPaddressre-stitching ZhaoJie ?���。―epartmentofInformationTechnologyandManagement,ZhejiangPoliceVocationalAcademy,Hangzhou,Zhejiang310018,China) Abstract:Toimprovethedistributeddenialofservice(DD
3����、oS)attacksourcetracebackefficiencyandaccuracy,proposedanethatparedtoAMS(AdvancedMarkingSchemes)algorithm,usingtheIPaddressofstitchingtechniques,re-definetheIPdataheaderpartofthefield,usinganeat,makingtherouteapackettocarrymoreaddressinformationtoimprovetheeffici
4、encyofreconstructionofthepath,dramaticallyreducingthefalsealarmrate.RelativetotheAMSalgorithm,thenesignificantlyimprovestheperformanceofIPtraceback,reducefalsealarmrate. Key;IPpackets 0引言 當(dāng)前各類X絡(luò)安全威脅中�,拒絕服務(wù)攻擊(DOS)和分布式拒絕服務(wù)攻擊(DDOS)因其危害大、難以徹底防范����、攻擊難確定等成為X絡(luò)攻擊者最常采用的方
5���、法�����。為了隱藏其真實(shí)�,它們利用偽裝IP地址進(jìn)行攻擊���,這是IP反向追蹤困難的主要原因。但是�����,盡管IP數(shù)據(jù)包頭地址是偽造的����,然而數(shù)據(jù)包從源頭到目的地所經(jīng)過的路由器等X絡(luò)轉(zhuǎn)發(fā)設(shè)備還是會記錄下攻擊路徑,利用這點(diǎn)我們可以重構(gòu)攻擊路徑找到攻擊源[1]����。 1數(shù)據(jù)包標(biāo)記追蹤算法 1.1基本數(shù)據(jù)包標(biāo)記算法[2] Burch等提出��,將路由信息全部插入數(shù)據(jù)包中��,當(dāng)受害者收到這些數(shù)據(jù)包時(shí)�����,從中即可獲得相關(guān)路徑信息�����,便可重構(gòu)出攻擊路徑�。但向數(shù)據(jù)包中插入過多的路由信息����,會導(dǎo)致數(shù)據(jù)包長度超過路徑的最大傳輸單元,造成數(shù)據(jù)包不必要的分段���。 1.2
6、高級數(shù)據(jù)包標(biāo)記(AMS)算法 AMS的主要思想是���,將IP數(shù)據(jù)包頭中標(biāo)記域分為:distance域��、flagID域和edge域���,每個(gè)路由器以固定概率p決定是否標(biāo)記數(shù)據(jù)包,把兩個(gè)路由器地址信息異或后的Hash值插入數(shù)據(jù)包頭標(biāo)識域來減少存儲空間�。在重構(gòu)路徑中����,AMS算法利用了異或的數(shù)學(xué)特性即a?b?a=b,從最后一個(gè)路由節(jié)點(diǎn)開始逐跳求出路由器地址信息�,從而構(gòu)造出整個(gè)攻擊路徑?��! ∮捎诜聪虻刂纷粉櫟臏?zhǔn)確性和高效率是由每個(gè)數(shù)據(jù)包所攜帶的路由信息所決定的�,如果數(shù)據(jù)包頭能夠攜帶更多信息,則能大幅降低重構(gòu)路徑算法的收斂時(shí)間和誤報(bào)率�。
7、 2IP地址拼接的包追蹤算法 高級數(shù)據(jù)包標(biāo)記雖然比基本數(shù)據(jù)包標(biāo)記誤報(bào)率有所降低���,但是仍然不理想�,這是由數(shù)據(jù)包頭標(biāo)記的格式所決定的[3]。本文提出一種新標(biāo)記算法���,通過改變IP數(shù)據(jù)包頭中標(biāo)記域編碼格式,達(dá)到減少重構(gòu)路徑誤報(bào)數(shù)量的目的���?���! ?.1算法思路 利用RF位在當(dāng)前X絡(luò)應(yīng)用中未被使用特點(diǎn)���,對IP數(shù)據(jù)包頭中標(biāo)識域(16bit)和RF位(1bit)的編碼格式進(jìn)行重定義��,如圖1所示。用20bit對路由器進(jìn)行編碼��,并分為4個(gè)分片���。當(dāng)路由器決定標(biāo)記一個(gè)數(shù)據(jù)包時(shí)���,從4個(gè)分片中隨機(jī)等概率將1個(gè)分片寫入標(biāo)記域block1中�,偏移
8�、域offset則置為相應(yīng)分片號����。考慮到X絡(luò)數(shù)據(jù)包從源到目的地址所經(jīng)過節(jié)點(diǎn)數(shù)量不會超過32跳���,將固定值32寫入distance域��,同時(shí)將block2置0�。下游節(jié)點(diǎn)路由設(shè)備收到數(shù)據(jù)包����,則執(zhí)行以下動作: ?��、沤拥綌?shù)據(jù)包后檢查block1域�����,如果block1域通過驗(yàn)證�����,則該路由器從自己的20bit中取出對應(yīng)分片寫入block2中�����?��! 、迫?/p>
