JP2009528797A - インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) - Google Patents
インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) Download PDFInfo
- Publication number
- JP2009528797A JP2009528797A JP2008557497A JP2008557497A JP2009528797A JP 2009528797 A JP2009528797 A JP 2009528797A JP 2008557497 A JP2008557497 A JP 2008557497A JP 2008557497 A JP2008557497 A JP 2008557497A JP 2009528797 A JP2009528797 A JP 2009528797A
- Authority
- JP
- Japan
- Prior art keywords
- marking
- router
- packets
- information
- asem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
【解決手段】実施形態は、インターネットプロトコル(IP)トレースバックのための、自律システムベースのエッジマーキング(ASEM)に関する。特に、本実施形態は、ルータにおいて1つ以上のパケットを受信し、マーキングルータにおけるパケットにのみ自律システム(AS)レベルとマーキング情報とを書き込み、マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送する、IPトレースバックのためのシステム及び方法である。さらに、パケットは確率測度に基づいてマーキングされ、ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用されるASレベル情報である。
【選択図】図1
Description
(1)アタッカーは任意のパケットを生成する可能性がある;
(2)アタッカーはトレース方式を知っている可能性がある;
(3)攻撃は、少なくとも数十のパケットで構成される;
(4)乗っ取られるルータがあるとしても、乗っ取られる可能性があるのは少数のみであり、且つ、乗っ取られたルータは隣接していない;
(5)ASの入口エッジルータのいずれもが、そのドメインのBGPルーティング情報を共有する;
(6)AS経路はかなり安定している;
(7)いかなるAS経路の長さも限られている。
(1)マーキングされたパケットの総数の期待値
p=1/dj (10)
Claims (20)
- インターネットプロトコル(IP)トレースバックのための方法であって、
前記方法は、
ルータにおいて1つ以上のパケットを受信するステップと;
自律システム(AS)レベルのマーキングルータにおけるパケットにのみマーキング情報を書き込むステップと;
マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送するステップとを含み、
前記パケットは、確率測度に基づいてマーキングされ、且つ
ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用される前記ASレベル情報である
方法。 - 前記確率測度は、乱数が最適マーキング確率より小さいか否かによって決定される、
請求項1に記載のIPトレースバックのための方法。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項2に記載のIPトレースバックのための方法。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項3に記載のIPトレースバックのための方法。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項4に記載のIPトレースバックのための方法。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項5に記載のIPトレースバックのための方法。 - プロセッサによって実行された場合、IPトレースバックのための方法を前記プロセッサに実施させるソフトウェアコードを含むプロセッサ可読媒体であって、
前記IPトレースバックのための方法は、
ルータにおいて1つ以上のパケットを受信するステップと;
自律システム(AS)レベルのマーキングルータにおけるパケットにのみマーキング情報を書き込むステップと;
マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送するステップとを含み、
前記パケットは、確率測度に基づいてマーキングされ、且つ
ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用される前記ASレベル情報である、
プロセッサ可読媒体。 - 前記確率測度は、乱数が最適マーキング確率より小さいか否かによって決定される、
請求項7に記載のプロセッサ可読媒体。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項8に記載のプロセッサ可読媒体。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項9に記載のプロセッサ可読媒体。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項10に記載のプロセッサ可読媒体。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項11に記載のプロセッサ可読媒体。 - 乗っ取られたルータ、及び危殆化したルータは隣接していない、
請求項12に記載のプロセッサ可読媒体。 - 攻撃は、少なくとも数十のパケットで構成される、
請求項13に記載のプロセッサ可読媒体。 - IPトレースバックのためのシステムであって、
前記システムは、
複数の自律システムと、
前記複数の自律システムを相互接続するように構成されたルータとを備え、
前記ルータは、
前記複数の自律システムによって受信されたパケットにマーキングするように構成されたマーキングルータと、
前記マーキングルータに相互接続され、且つ前記マーキングルータによりマーキングされたパケットを検証するように構成されたエッジルータ及びその他のルータとを更に含み、
前記マーキングルータ、エッジルータ及びその他のルータは、請求項7に記載のソフトウェア可読媒体を実行するように構成されたプロセッサを更に含む
システム。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項15に記載のシステム。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項16に記載のシステム。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項17に記載のシステム。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項18に記載のシステム。 - 乗っ取られたルータ、及び危殆化したルータは隣接しておらず、且つ、攻撃は少なくとも数十のパケットで構成される、
請求項19に記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US77814106P | 2006-03-01 | 2006-03-01 | |
PCT/US2007/063073 WO2008042453A2 (en) | 2006-03-01 | 2007-03-01 | Autonomous system-based edge marking (asem) for internet protocol (ip) traceback |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009528797A true JP2009528797A (ja) | 2009-08-06 |
Family
ID=39269053
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008557497A Pending JP2009528797A (ja) | 2006-03-01 | 2007-03-01 | インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) |
Country Status (5)
Country | Link |
---|---|
US (1) | US20070206605A1 (ja) |
EP (1) | EP1989839A4 (ja) |
JP (1) | JP2009528797A (ja) |
CN (1) | CN101518017A (ja) |
WO (1) | WO2008042453A2 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
US8245304B1 (en) * | 2006-06-26 | 2012-08-14 | Trend Micro Incorporated | Autonomous system-based phishing and pharming detection |
US7619990B2 (en) * | 2006-06-30 | 2009-11-17 | Alcatel-Lucent Usa Inc. | Two tiered packet labeling for data network traceback |
KR100950769B1 (ko) * | 2007-12-17 | 2010-04-05 | 한국전자통신연구원 | 역추적 방법 및 신호 수신 장치 |
US8296303B2 (en) * | 2008-11-20 | 2012-10-23 | Sap Ag | Intelligent event query publish and subscribe system |
CN101873258A (zh) * | 2010-06-07 | 2010-10-27 | 清华大学 | 一种概率包标记及攻击源追溯方法、系统及装置 |
CN102006290B (zh) * | 2010-08-12 | 2013-08-07 | 清华大学 | Ip源地址追溯的方法 |
CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
TWI489820B (zh) * | 2011-01-03 | 2015-06-21 | Univ Nat Taiwan Science Tech | 一種追蹤攻擊來源之方法 |
CN102957610B (zh) * | 2012-12-03 | 2016-03-02 | 杭州华三通信技术有限公司 | 路由处理方法及路由转发设备 |
CN104202314B (zh) * | 2014-08-22 | 2018-04-20 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
US9819573B2 (en) * | 2014-09-11 | 2017-11-14 | Microsoft Technology Licensing, Llc | Method for scalable computer network partitioning |
US9716647B2 (en) | 2015-06-22 | 2017-07-25 | Futurewei Technologies, Inc. | Multiple topology-transparent zones having a common edge node |
SG10201912933VA (en) * | 2016-03-23 | 2020-02-27 | Agency Science Tech & Res | Cloud-based forensic ip traceback |
SG11202005806PA (en) * | 2017-12-26 | 2020-07-29 | Agency Science Tech & Res | Tracing traffic in the internet |
US10893022B1 (en) * | 2018-12-20 | 2021-01-12 | Equinix, Inc. | Routing protocol security using a distributed ledger |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040093521A1 (en) * | 2002-07-12 | 2004-05-13 | Ihab Hamadeh | Real-time packet traceback and associated packet marking strategies |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7035934B1 (en) * | 2000-03-23 | 2006-04-25 | Verizon Corporate Services Group Inc. | System and method for improving traffic analysis and network modeling |
US7286479B2 (en) * | 2001-07-13 | 2007-10-23 | Nortel Networks Limited | Routing for a communications network |
US7254633B2 (en) * | 2002-02-07 | 2007-08-07 | University Of Massachusetts Amherst | Probabilistic packet marking |
US7565426B2 (en) * | 2003-08-07 | 2009-07-21 | Alcatel Lucent | Mechanism for tracing back anonymous network flows in autonomous systems |
US7656819B2 (en) * | 2005-11-04 | 2010-02-02 | Cisco Technology, Inc. | Method and apparatus for improving convergence in networks |
-
2007
- 2007-03-01 CN CNA2007800070500A patent/CN101518017A/zh active Pending
- 2007-03-01 US US11/680,837 patent/US20070206605A1/en not_active Abandoned
- 2007-03-01 JP JP2008557497A patent/JP2009528797A/ja active Pending
- 2007-03-01 EP EP07863323A patent/EP1989839A4/en not_active Withdrawn
- 2007-03-01 WO PCT/US2007/063073 patent/WO2008042453A2/en active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040093521A1 (en) * | 2002-07-12 | 2004-05-13 | Ihab Hamadeh | Real-time packet traceback and associated packet marking strategies |
Also Published As
Publication number | Publication date |
---|---|
WO2008042453A9 (en) | 2008-06-05 |
CN101518017A (zh) | 2009-08-26 |
WO2008042453A2 (en) | 2008-04-10 |
WO2008042453A3 (en) | 2009-05-07 |
EP1989839A2 (en) | 2008-11-12 |
EP1989839A4 (en) | 2012-06-20 |
US20070206605A1 (en) | 2007-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009528797A (ja) | インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) | |
US11470105B2 (en) | Attestation service gateway | |
US11863434B2 (en) | System and method of providing policy selection in a network | |
Legner et al. | {EPIC}: every packet is checked in the data plane of a {Path-Aware} Internet | |
Chatterjee et al. | Security issues in named data networks | |
US8824474B2 (en) | Packet routing in a network | |
Wu et al. | What if routers are malicious? mitigating content poisoning attack in ndn | |
US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
Compagno et al. | Violating consumer anonymity: Geo-locating nodes in named data networking | |
US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
Gao et al. | A practical and robust inter-domain marking scheme for IP traceback | |
Mohammadi et al. | SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking | |
US20200322334A1 (en) | Authentication of network devices based on extensible access control protocols | |
CN113395247A (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
US11509684B2 (en) | Method and apparatus for out of path border gateway protocol validation | |
Alston et al. | Neutralizing interest flooding attacks in named data networks using cryptographic route tokens | |
Malliga et al. | A hybrid scheme using packet marking and logging for IP traceback | |
Testart | Reviewing a Historical Internet Vulnerability: Why Isn't BGP More Secure and What Can We Do About it? | |
Alenezi et al. | Uniform dos traceback | |
US11558198B2 (en) | Real-time attestation of cryptoprocessors lacking timers and counters | |
Al-Duwairi et al. | Preventing DDoS attacks in path identifiers-based information centric networks | |
Parashar et al. | Improved deterministic packet marking algorithm for IPv6 traceback | |
Singh et al. | Threat identification and risk assessments for named data networking architecture using SecRam | |
Tripathy et al. | A secure packet marking scheme for ip traceback in ipv6 | |
Alenezi et al. | Selective record route DoS traceback |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100528 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101112 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101119 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110418 |