CN101518017A - 用于因特网协议(ip)追踪的基于自治系统的边缘标记（asem） - Google Patents

Abstract

实施例涉及用于因特网协议(IP)追踪的基于自治系统的边缘标记(ASEM)。特别地，实施例是如下用于IP追踪的系统和方法：在路由器处接收一个或多个包；以自治系统(AS)级别和标记信息仅在标记路由器处记下包；以及将标记的包转发到边缘路由器和其它路由器以便验证。另外，基于概率测度来对包进行标记，并且边界网关协议(BGP)路由表信息是用于标记和验证的AS级别信息。

Description

用于因特网协议(IP)追踪的基于自治系统的边缘标记(ASEM)

背景技术

无处不在的因特网已经极大地改变了我们的生活方式。日常的活动(例如网上银行、股票交易和电话会议)越来越依赖于因特网的性能。针对因特网上的军事通信和金融交易的网络安全尤其是关注的焦点。致命的拒绝服务(Denial of Service，DoS)攻击及其高级变种分布式DoS(DDoS)攻击的出现，对于我们对因特网的使用和依赖是麻烦的入侵者。即使在诸如Yahoo、CNN、Ebay和Amazon之类的高规格站点上也反复地证明了DoS/DDoS攻击的不利影响。

特别地，DDoS攻击对网络安全施加了严重的威胁。在DDoS攻击中，攻击者向受害者发送大量的恶意业务。例如，DDoS攻击者经由连接到因特网的计算机系统可以侵入不同数据中心的一个或多个计算机。通常，攻击者通过因特网服务提供商(ISP)接入因特网。然后，攻击者可以通过使用恶意软件程序将数据中心的多个计算机置于其控制之下。当攻击者发出命令时，这些计算机可以在不同时刻将大量的数据同时发送到受害者，阻止受害者响应合法的因特网业务和消息。

因特网协议(IP)追踪方案用于抗击DDoS。IP追踪方案包括任何用于在因特网上可靠地确定包的起点的方法。然而，因特网的自带寻址信息的特点使得难以确定包的源主机，因为IP包中提供的源识别可以被伪造(亦即IP欺骗)以便进行上面所讨论的DDoS攻击。

IP追踪企图跟踪从目标(亦即受害者)返回到攻击者所使用的可能不同源的攻击流。为了逃避可能的处罚且获得更好的攻击效果，攻击者从成百的僵尸(亦即被破坏的主机)而不是从他们自己的机器来袭击受害者。其次，来自许多僵尸的攻击业务将聚集在受害者处。因此，受害者很难(如果不是不可能的话)在因特网上将恶意的业务和合法的业务区别开。

背景技术IP追踪方案的缺陷包括但不限于沉重的计算负担、高的假报警率和可量测性。至少因为上面讨论的原因，背景技术IP追踪方案效率低且常常不实用。因此，需要提高IP追踪技术以识别DDoS攻击的源和设立对因特网的保护措施。

发明内容

实施例旨在克服背景技术所遇到的上述和其它困难。特别地，实施例提供能在非常短的时间内并且以低的复杂性有效且稳健地跟踪数千攻击源的方法。

附图说明

图1是具有与逐段转接(hop-by-hop)路径相对比的AS路径的基于自治系统的边缘标记(ASEM)的实施例的示例性系统图。

图2是具有前缀起源ASPATH属性的ASEM的实施例的示例性系统图。

图3是用于在ASEM的实施例的第一标记路由器处进行标记的方法的示例性流程图。

图4是针对ASEM的实施例的路由器进行标记和验证算法的示例性流程图。

图5是用于PPM的N_j的分析结果对比于ASEM的实施例相对于背景技术的第一优点的示例性曲线图。

图6是用于PPM的N_j的分析结果对比于示出ASEM的实施例相对于背景技术的第二优点的示例性曲线图。

图7是用于PPM的N_j的分析结果对比于示出相对于背景技术的第一和第二优点整体的ASEM的实施例的示例性曲线图。

具体实施方式

实施例包括但是不限于用于因特网协议追踪的基于自治系统的边缘标记(ASEM)。在因特网上，自治系统(AS)是向因特网提供公共路由策略的一个或多个实体控制下的因特网协议(IP)网络和路由器的集合。因特网协议(IP)是面向数据的协议，用于跨越包交换的因特网络进行数据通信。

ASEM的实施例已经被优化，使得可以减少背景技术的沉重计算负担和高假报警率。另外，与背景技术相比，实施例对IP欺骗和被破坏的路由器更稳健。实施例相对于背景技术简化了追踪过程，因为：(1)借助于链接信息，可以立即且正确地完成路径重建；以及(2)需要少得多的包来定位攻击源。

实施例提供了用于自治系统(AS)级别的IP追踪的新颖标记方案，并且如上所述被称为用于IP追踪的基于AS的边缘标记(ASEM)。如在M.Goodrich的Efficient packet marking for large-scale IP traceback，in：9thACM conf.on computer and communications security，2002，PP.117-126中所公开的背景技术IP追踪方案使用每个路由器的IP地址信息来逐段转接地重建攻击路径。

类似于被称为概率性包标记(PPM)的背景技术IP追踪方案，在ASEM的实施例中，沿着攻击路径的路由器根据一定概率来标记包。然而，与背景技术相比，ASEM方法相对于PPM的优点包括但不限于：(1)只有每个AS的入口边缘路由器进行标记；(2)禁止所有的路由器重新标记已经由任何上游路由器标记的包；以及(3)标记信息是AS数(ASN)而不是每个遍历路由器的IP地址。

进一步，ASEM极大地缓解了受害者的压倒性计算负担。为了量化ASEM的这个优点，我们的分析使用量度——路径重建所需的标记包的数目——来评估不同的追踪方案。下面在试验的例子中使用这个量度作为准则，比较用于减轻计算开销的两个不同方法。

上面所讨论的ASEM的优点不仅减少了重建所需的包的数量，而且完全根除了攻击者所列入的欺骗标记的威胁。进一步，ASEM能够通过以下来应对由被破坏的路由器所招致的欺骗的标记：允许下游AS中的入口边缘路由器检查来自它们相邻的上游AS中的入口边缘路由器的标记信息的正确性。进而，错误的肯定被有效抑制，并且ASEM的实施例优于PPM之处在于用于IP追踪的ASEM可以处理大规模的DDoS攻击。此外，因特网的幂定律关系致使ASEM的实施例甚至在局部部署之下也有效。

在ASEM的实施例中，路径长度被限定为攻击源和受害者之间的有资格进行标记的路由器的数目。注意在PPM中，沿着攻击路径的所有路由器都可以标记通过的包，因而沿着路径的所有路由器都是有资格的。与此形成对照，在ASEM的实施例中，只有每个AS的入口边缘路由器被允许(亦即有资格)执行标记，并且我们方案中的路径长度是处于AS级别而不是如PPM中的逐段转接。

通过关注在IP追踪中极少使用的因特网层级可以开发ASEM的实施例。自治系统(AS)是因特网层级的重要组成部分。通常，AS由一个实体调节，该实体可以执行整个管理域内部的一致路由策略。然而，在不同的AS中，管理策略可以是极其不同的。

边界网关协议(BGP)是因特网的核心路由协议。特别地，BGP路由是AS间路由的事实标准。BGP通过维护指示自治系统之间的网络可达性的IP网络或“前缀”的表来工作。唯一的AS数目(ASN)被分配给每个AS以便用于BGP路由。使用BGP，AS数目是重要的，因为ASN在因特网上唯一地标识每个网络。多个自治系统(AS)依靠BGP来交换路由可达信息，并且这个任务通过被称为BGP扬声器的几个路由器来进行。在下面的段落中描述使用BGP路由的AS的三个有益特性。

如图1所示，多个自治系统AS1、AS2、AS3、AS4遭受于攻击者A1、A2、A3、A4并且具有受害者V。边缘路由器、标记路由器、其它路由器、AS路径和逐段转接路径通过如图1的图例所示的符号来指示。AS的第一个有益特性是AS路径远短于相应的IP路径。例如，如图1所示，来自A1的攻击IP路径采取8个跳段，并且来自A2的攻击IP路径采取7个跳段，以到达受害者V。与此形成对照，攻击AS路径在每个情况下只有3个“跳段”。

上述例子还说明了AS的第二个有益特性：AS级别的路由跳段在路径长度方面稳定得多。亦即，在每种情况下3个“跳段”是AS级别路径的路径长度，而与IP级别情况下所需的8个和7个“跳段”相对立。

使用BGP路由的AS的第三个有益特性是它产生被称为ASPATH属性的消息。ASPATH提供到达给定目的地以前所遍历的AS的顺序列表。图2示出了多个自治系统AS 1239、AS 1129、AS 1755、AS 3549、AS 6341、AS 7018、AS 12654。在图2中示出了示例性的ASPATH属性消息连同驻留在AS 6341中的IP地址(亦即135.207.0.0/16)。如图2所示，假定AS12654内部的BGP扬声器接收到针对IP地址前缀135.207.0.0/16的两组路由信息。亦即，从AS 1129至给定目的地的一组BGP路由信息具有ASPATH属性“11291755123970186341”，并且另一组BGP路由信息具有ASPATH属性“354970186341”。另外，因为后面的一组较短，所以AS 12654中的BGP扬声器可以在它的路由表中保持后面的ASPATH。

上述特性表明：(1)IP地址前缀135.207.0.0/16位于AS 6341内部，因为ASPATH属性以“6341”结束；以及(2)具有(135.207.0.0，135.207.255.255)范围内的目的地地址的包将经由AS 3549遍历到AS7018，并且经由AS 7018而遍历到AS 6341(亦即，假设在这个范围内不存在任何其它前缀。亦即，没有诸如135.207.1.0/24之类的前缀存在于相同的BGP路由表中)。

通过ASEM的实施例来利用上述三个特性。第一个有益特性意味着从源到目的地的更少的“跳段”数，使得在ASEM中重建路径需要更少数目的标记包。亦即，为了使用ASEM恢复攻击路径，使用ASEM与使用PPM相比，受害者V需要接收较少的标记包。因而，ASEM可以显著优于背景技术PPM方案。

第二个特性简化了路径重建，因为使用ASEM需要考虑较少路径。因而，使用ASEM，使受害者解除了组合激增的问题，这在背景技术PPM方案中是不可避免的。

最后，当ASPATH属性用于标记时，与背景技术PPM方案相比，在ASEM的实施例中，第三个特性可以用于更简单的标记和标记验证过程。亦即，BGP路径的使用允许对来自AS_b(例如图2的AS 7018)的下游标记路由器R_b的信息进行标记，以验证通过其相邻的AS_a(例如图2的AS3549)的上游标记路由器R_a所嵌入的标记的正确性，因为上游标记路由器R_a的ASPATH属性将会是下游标记路由器R_b的ASN和下游标记路由器R_b的ASPATH属性的并置(亦即ASPATH(AS_a)＝并置(AS_b，ASPATH(AS_b))。

例如，如图2所示，AS_b(AS 7018)是AS_a(AS 3549)的下游邻居。如果发现不匹配，则上游标记路由器可以过滤或丢弃具有欺骗标记的那些包。亦即，假设从源src到目的地dst的路径以AS级别遍历AS_a、AS_b、AS_c、AS_d、AS_e。上述每个AS到dst的ASPATH属性分别是“AS_bAS_cAS_dAS_e”、“AS_cAS_dAS_e”、“AS_dAS_e”、“AS_e”、“·“。使用“·“表示最后的AS，因为目的地dst是在最后的AS_e的内部，其中仅使用IGP路由协议而不是EGP路由协议(例如BGP)。

在ASEM的实施例中，当ASPATH属性用做每个AS的标记信息时，来自下游标记路由器AS_b的标记信息可以用于验证其上游邻居AS_a的标记路由器的标记信息的正确性。因为在ASEM的实施例中只有16位用于存储ASPATH属性，所以我们对当前的AS的ASN和ASPATH属性中的所有ASN使用XOR运算，并且在AS_PATH中记录最终结果。在AS_a上游标记路由器处，用于dst的标记信息是

其中是异或运算符；在下游标记路由器AS_b处，用于dst的标记信息是因而，ASEM的实施例具有关系 $\mathrm{AS}\_\mathrm{PATH}\left({\mathrm{AS}}_a\right)={\mathrm{AS}}_a\⊕\mathrm{AS}\_\mathrm{PATH}\left({\mathrm{AS}}_b\right).$ 这个关系对所有相邻的AS都成立。

作为上面的例子，假设包的流以135.207.x.y攻击主机。如图2所示，上游标记路由器AS 3549处的标记于是为“354970186341”，并且下游标记路由器AS 7018处的标记为“70186341”。因而，上游标记路由器AS3549易于确定来自其下游邻居AS 7018的标记信息正确与否(例如由于欺骗)，因为这两个AS的标记之间的仅有差异应该是当前路由器AS 3549的AS数目(ASN)。因为我们仅使用16位来记录ASPATH属性，所以可以包括一些变换。

图3示出了第一个入口边缘或标记路由器R处的标记程序的伪码的流程图。伪码给出如下：

对于每个包w

如果w.FLAG＝‘1’//攻击者可能有意欺骗标志

w.FLAG＝‘0’

将hash(R)写入到w.HASHIP中

令dst为w的目的地IP地址

查找R的BGP路由表以得到ASPATH属性ASPATH_R(dst)

pl＝1/(len(ASPATH_R(dst+1)//R的最佳标记概率

令x为来自[0，1)的随机数

如果x＜pl    //对包进行标记

将ASN(R)写入到w.AS_PATH中//用当前的ASN初始化AS_PATH

对于ASPATH_R(dst)中的每个项目u

将XOR(w.AS_PATH，u)写入到w.AS_PATH中

将len(ASPATH_R(dst))写入到w.LEN中

将“1“写入到w.FLAG中

转发w。

图4示出了在边缘和其它路由器S处的标记和标记验证方法的伪码的流程图。伪码给出如下：

令dst为w的目的地IP地址

查找S的BGP路由表以获得ASPATH属性ASPATH_s(dst)

current_mark＝ASN(S)

对于ASPATH_s(dst)中的每个项目u

current_mark＝XOR(current_mark，u)

len2＝len(ASPATH_S(dst))

p2＝1/(len2+1)//S的最佳标记概率

guess_mark＝XOR(ASN(T)，current_mark)

如果w.FALG＝’1’//w已经被标记

如果w.LEN＝len2+1且w.AS_PATH≠guess_mark)

//来自邻居T的欺骗标记

丢弃w

否则

转发w

否则

令x为来自[0，1]的随机数

如果x＜p2//对包进行标记

将current_mark写入到w.AS_PATH中

将len(ASPATH_S(dst))写入到w.LEN中

将’1’写入到w.FLAG中

转发w.

下面是针对ASEM的实施例所作的一些假设：

(1)攻击者可以创建任何包；

(2)攻击者可以知道追踪方案；

(3)攻击至少由几十个包组成；

(4)如果有的话，也仅有几个路由器可以被破坏，且被破坏的路由器不相邻；

(5)AS的每个入口边缘路由器共享其域的BGP路由信息；

(6)AS路径是相当稳定的；以及

(7)任何AS路径的长度是有限的。

假设(1)和(2)表示攻击者可以具有僵尸之上的根权限，并且可以有意产生任何他/她想要的包，包括欺骗的标记。假设(3)指示ASEM的实施例被设计用于基于洪流的攻击、占优势的DoS/DDoS攻击模式。

与背景技术形成对照，ASEM实施例应对来自攻击者和被损害的路由器两者的欺骗标记的挑战。在(4)中，假设被损害的路由器不是相邻的。在(5)中，假设每个AS中的所有入口边缘路由器共享同一域中的BGP扬声器的BGP路由表。这个假设表示每个入口边缘路由器上的一些附加存储器存储BGP路由表。然而，这个附加的存储器不是大问题，因为AS的总数目仅仅大约为20,000。

在ASEM的实施例中，当入口边缘路由器接收包时，它使用BGP路由表来执行标记和标记检查。假设(6)和(7)由因特网测量来支持。占优势的AS路径长度是3到5，具有4的平均值。实施例假设AS路径长度不大于8，其满足于全部AS路径中的大约99.5％。

在ASEM的实施例中，每个AS的入口边缘路由器，其在图1中被称为标记路由器，根据预定的概率在遍历包中记下某种标记信息。注意，在每个AS中，只有标记路由器执行标记和/或标记检查，且所有的其它路由器不执行标记和/或标记检查。

由标记路由器在包上记下的标记信息包括4部分，总共32位。标记信息的第一个部分有16位长，被称为AS_PATH，其存储变换的ASPATH属性信息。整个ASPATH属性以16位来存储。标记信息的第二个部分是旗标，被称为FALG，其告知下游标记路由器当前包是已被标记(FALG＝“1”)还是未被标记(FALG＝“0”)。

标记信息的第三个部分由3位构成，其记录ASPATH属性的长度。在ASEM中，我们在计算ASPATH属性的长度方面不计填充(padding)。亦即，假设ASPATH是“1102222317”(填充AS2)，其长度仍然是3，与ASPATH“1102317”的长度相同。这个长度信息可以用于确定最佳的标记概率，以及用于标记验证。

标记信息的第四个部分是沿着路径的第一个标记路由器的IP地址的散列函数(HASHIP)。HASHIP用作链接信息，使得受害者V可以容易地识别来自相同源的包，并因而极其便于路径重建，且错误肯定率减少。注意，路径重建的程序已经被极大地简化，因为恢复每个路由器的32位IP地址的第一个步骤在ASEM中是不必要的。

另外，HASHIP可以用于区别不同的攻击源，使得易于处理在当今的因特网环境中占优势的大规模DDoS。进而，使用HASHIP，受害者V可以抢先阻挡攻击业务，而不是依赖于其ISP的响应。应该注意到这对用于IP追踪的背景技术PPM方案是不可行的，因为一个路由器的标记信息必须以几个包来分割和传送。

使用AS中的BGP路由信息作为标记信息允许下游标记路由器检查来自其上游邻居的标记的正确性(亦即因为上面讨论的ASPATH的属性)。因而，如果发现欺骗的标记，则下游标记路由器可以过滤或丢弃具有欺骗标记的那些包。关于这个方法的另外的信息在下面进一步讨论。

为了处理由攻击者所注入的伪造的标记，实施例执行无“重新标记”的策略。亦即，所有随后的标记路由器不能重新标记已经由任何上游标记路由器所标记的任何包。通过结合这两个方法并且使用导出的最佳标记概率，实施例将路径重建所需的包的数目最小化，并且与此同时显著增强了稳健性并大大抑制了错误的肯定。

如在下面的段落中所讨论的，实施例减少了计算负担。特别地，计算负担主要在于路径重建的方法。因此，减少路径重建所需的标记的包的总数目因而是非常重要的。首先，实施例企图找到最佳的标记概率，其次，标记机制被增强，第三，研究了“减少”路径长度的可能性。

将k记作到达受害者v的攻击路径的数目。对于路径j(1≤j≤k)，在攻击源和v之间的路由器的数目是d_j。令p_j ⁱ(m)为沿着路径j的路由器i(1≤i≤d_j)的标记概率，且p_j ⁱ(v)为v所觉察到的沿着路径j的路由器i的标记概率。p_j ⁱ(v)可以不同于p_j ⁱ(m)，例如对于PPM有 $p_j^i\left(m\right)=p$ 和 $p_j^i\left(v\right)=p{(1-p)}^{d_j-i}.$

将N_j记作沿着路径j遍历的包的数目，并且M_j ⁱ记作由沿着路径j的第i个路由器所标记且由v所接收到的包的数目。换言之，那些最初由第i个路由器所标记但是由任何随后的路由器所重新标记的包不计入到M_j ⁱ中。将M_j记作由沿着路径j的任何路由器所标记的和由v所接收的包的数目。由于PPM和ASEM依概率对包进行标记，所以M_j ⁱ和M_j是随机变量。显然，M_j ⁱ和M_j的期望值分别是

$E\left[M_j^i\right]=N_j{p}_j^i\left(v\right),---\left(1\right)$

和 $E\left[M_j\right]=E\left[\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}{M}_j^i\right]=\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}E\left[M_j^i\right]=N_j\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}{p}_j^i\left(v\right),---\left(2\right)$

难以直接比较PPM和ASEM下的标记包的数目。然而，给定相同数目的攻击包和相同的攻击路径，我们可以比较它们的性能。我们使用的两个量度为：(1)标记包的总数目的期望值，E[M_j ⁱ]，以及(2)受害者接收来自每个路由器的至少一个标记包的概率，

$P\{M_j^1\≥1;M_j^2\≥1;\·\·\·;M_j^{d_j}\≥1\}.$

下面的段落进一步讨论用于路径重建的标记包的数目。特别地，这一段讨论沿着路径j的标记包的总数目的期望值。在PPM中， $p_j^i\left(v\right)=p{(1-p)}^{d_j-i}.$ 从(2)中，我们得到：

$E\left[M_j\right]=N_j\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}{p}_j^i\left(v\right)=N_j(1-{(1-p)}^{d_j}).---\left(3\right)$

ASEM的设计确保沿着路径在某处标记所有包。因此，即使当攻击者有意发送具有欺骗标记的包时，那些欺骗的标记将会被标记路由器的正确标记所重写。因此，来自攻击者的欺骗标记对于ASEM不是问题。由于

$\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}{p}_j^i\left(v\right)=1,---\left(4\right)$

所以对于ASEM有

$E\left[M_j\right]=N_j\underset{i=1}{\overset{d_j}{\mathrm{\Σ}}}{p}_j^i\left(v\right)=N_j.---\left(5\right)$

亦即，给定相同的攻击包的数目和相同的路径，平均起来，受害者在ASEM中可以获得比PPM中更多的标记包。随后，与在PPM中相比，受害者在ASEM中更有可能重建攻击路径。

下面的段落讨论从每个路由器接收至少一个标记包的概率。在PPM中，每个路由器独立地执行标记，因此

$P\{M_j^1\≥1;M_j^2\≥1;\·\·\·;M_j^{d_j}\≥\}=P\{M_j^1\≥1\}P\{M_j^2\≥1\}\·\·\·P\{M_j^{d_j}\≥1\}.---\left(6\right)$

亦即，

$P\{M_j^1\≥1;M_j^2\≥1;\·\·\·;M_j^{d_j}\≥1\}=\underset{i=1}{\overset{d_j}{\mathrm{\Π}}}(1-P\{M_j^i=0\left\}\right)=\underset{i=1}{\overset{d_j}{\mathrm{\Π}}}(1-{[1-p_j^i\left(v\right)]}^{N_j})---\left(7\right)$

由于 $p_j^1\left(v\right)<p_j^2\left(v\right)<\&CenterDot;\&CenterDot;\&CenterDot;<p_i^{d_j-1}\left(v\right),$ 所以

$1-{[1-p_j^1\left(v\right)]}^{N_j}<1-{[1-p_j^2\left(v\right)]}^{N_j}<\&CenterDot;\&CenterDot;\&CenterDot;<1-{[1-p_j^{d_j}\left(v\right)]}^{N_j}.---\left(8\right)$

与(7)结合，我们获得

$P\{M_j^1\&GreaterEqual;1;M_j^2\&GreaterEqual;1;\&CenterDot;\&CenterDot;\&CenterDot;;M_j^{d_j}\&GreaterEqual;1\}<{(1-{[1-p_j^{d_j}\left(v\right)]}^{N_j})}^{d_j}={(1-{[1-p]}^{N_j})}^{d_j}.---\left(9\right)$

不等式(9)对任何p(0＜p＜1)都成立。另一方面，方程(7)的最大值可以通过将方程(7)关于p求导来获得，得到

$p=\frac{1}{d_j}.---\left(10\right)$

因而，如果满足方程(10)，则可以达到方程(7)的最大值。

与PPM不一样，每个路由器相对于受害者的标记概率在ASEM中是相同的，亦即

$p_j^i\left(v\right)=\frac{1}{d_j}.---\left(11\right)$

在类似的求导之后，对于ASEM，有

$P\{M_j^1\&GreaterEqual;1;M_j^2\&GreaterEqual;1;\&CenterDot;\&CenterDot;\&CenterDot;;M_j^{d_j}\&GreaterEqual;1\}=\underset{i=1}{\overset{d_j}{\mathrm{\&Pi;}}}(1-{[1-p_j^i\left(v\right)]}^{N_j})={(1-{[1-\frac{1}{d_j}]}^{N_j})}^{d_j}---\left(12\right)$

从不等式(9)以及方程(10)和(12)中，我们可以得到如下结论：给定相同数目的攻击包和相同的路径，受害者在ASEM中从每个路由器接收到至少一个标记包的概率大于PPM中的概率。

下面的段落进一步讨论估计路径重建所需的攻击包的数目。在最后的分段中，给定攻击包的数目，我们研究标记包的数目和受害者在ASEM和PPM中从每个路由器接收到至少一个标记包的概率。下面，我们进一步研究成功进行路径重建所需要的攻击包的数目。

我们假设只要受害者从每个路由器接收到至少一个标记包，路径重建就可以完成。在这个分段中，为了简化我们的分析，当我们讨论标记包的数目时，我们指的是它们的期望值。类似的简化可以在绝大多数的背景技术IP追踪方案中找到。

给定 $M_j^i=N_j{p}_j^i\left(v\right)\&GreaterEqual;1,\&ForAll;i(1\&le;i\&le;d_j),---\left(13\right)$

在PPM中，由于p_j ⁱ(v)是i的单调增加函数(亦即， $p_j^1\left(v\right)<p_j^2\left(v\right)<\&CenterDot;\&CenterDot;\&CenterDot;<p_j^{d_j-1}\left(v\right)$ )，所以方程(13)可以被简化成

$N_j\&GreaterEqual;\frac{1}{p_j^1\left(v\right)}.---\left(14\right)$

亦即，

$N_j\&GreaterEqual;\frac{1}{p{(1-p)}^{d_j-1}}.---\left(15\right)$

对于PPM，N_j的最小值可以通过将方程(15)对p求导来获得，因而得到 $p=\frac{1}{d_j}.$

在这种情况下，对于PPM的N_j可以低至

$N_j\&GreaterEqual;\frac{{\left(d_j\right)}^{d_j}}{{(d_j-1)}^{d_j-1}}.---\left(16\right)$

与PPM不同，关于受害者的标记概率在ASEM中的每个路由器处是相同的。将方程(4)与不等式(13)结合，很容易看到只要方程(11)成立，就可以达到其最小值。在这种情况下，

N_j≥d_j    (17)

实际上，方程(11)在ASEM中总是成立，因此，ASEM总是使用最佳标记概率。由于不等式(18)

$\frac{{\left(d_j\right)}^{d_j}}{{(d_j-1)}^{d_j-1}}>d_j---\left(18\right)$

总是成立，所以在理论上即使都使用最佳标记概率，在ASEM中进行路径重建所需的攻击包的最小数目也小于在PPM中进行路径重建所需的攻击包的最小数目。

下面的段落包括对最佳标记概率的进一步讨论。上面的讨论从受害者v的角度研究了路径重建。现在从沿着攻击路径的每个路由器的角度来考虑问题。自然地产生两个问题：(1)为了获得最佳的p_j ⁱ(v)，在每个路由器处的标记概率(p_j ⁱ(m))会是什么；以及(2)导出的最佳标记概率可以实际地在每个路由器处实施吗？

对于PPM，每个路由器的标记概率(p_j ⁱ(m))是相同的： $p_j^i\left(m\right)=p,\&ForAll;i(1\&le;i\&le;d_j).$ 进而，如果每个路由器能够以某种方式提前知道路径长度(d_j)，则路由器可以将标记的概率设定为最佳值。如果是这种情况，则路径重建所需的包的数目可以减少到方程(16)所示的值。然而，由于PPM以IP级别工作，所以在当前的因特网中不存在可行的方法以预先提供针对每个路由器的路径长度。因此，导出的最佳标记概率从实践角度来看对于PPM是不可行的。

对于ASEM的实施例，每个路由器的标记概率(p_j ⁱ(m))是不相同的。每个路由器根据其到受害者的距离来确定其标记概率。对于路径j，第i个路由器将其标记概率设定为 $p_j^i\left(m\right)=\frac{1}{(d_j-i+1)},$ 其中(d_j-i+1)是当前路由器和v之间的距离(路径长度)。这是可行的，因为ASPATH属性提供确切的长度信息。对于第一个路由器，标记概率是1/d_j；对于第二个路由器，标记概率是1/(d_j-1)；等等。

然而，由于在ASEM中施加无“重新标记”的策略，所以第一个路由器已标记的内容不能由随后的路由器来重新标记。因此，只有

个包(平均数)可用于第二个路由器以进行标记。对于受害者，

$p_j^2\left(v\right)=\frac{1}{(d_j-2)+1}\&times;(1-\frac{1}{d_j})=\frac{1}{d_j}.---\left(19\right)$

类似地，

$p_j^i\left(v\right)=\frac{1}{(d_j-i)+1}\&times;(1-\underset{s=1}{\overset{i-1}{\mathrm{\&Sigma;}}}{p}_j^s\left(v\right))=\frac{1}{(d_j-i)+1}\&times;(1-\frac{i-1}{d_j})=\frac{1}{d_j}.---\left(20\right)$

亦即，ASEM中的每个路由器总是使用最佳的标记概率来标记包。因而，计算负担被最小化。表1列出了背景技术PPM和ASEM中每个路由器处标记的和未触动的(未标记的)包的平均数。为了简化，我们使用S来代替N_j，并且用p代替p_j ⁱ(v)。

总而言之，关于计算负担，ASEM在两个方面与PPM有区别。第一，导出的最佳标记概率是可行的并且实际用于ASEM中，而PPM由于其不知整个路径长度而使得使用最佳标记概率是不切实际的。第二，即使假设PPM中的所有路由器总是使用最佳标记概率，不等式(18)示出ASEM仍然需要较少数目的包用于路径重建。

表1.针对PPM和ASEM的每个标记路由器处的标记程序

下面的段落进一步讨论减少路径长度。考虑方程(17)，ASEM中的N_j可以通过减少d_j的值来进一步减少。假设d_j(d′_j＜d_j个路由器中只有d′_j个用于恢复攻击路径。d′_j越小，则N_i越小。

N_j≥d′_j，d′_j＜d_j.(21)

我们使用短得多的AS路径，而不是逐段转接IP路径。由于只有沿着路径的标记路由器执行标记，所以这等效成相对于路径重建更短的路径长度。注意：用于IP追踪的最重要的信息是沿着路径的第一个路由器的信息。虽然ASEM是基于AS级别，但是它还可以记录沿着路径的第一个路由器的信息，并因此ASEM可以有效地追踪攻击源。

下面的段落讨论稳健的标记。好的标记方案将在有效性和稳健性之间平衡。另外，前面的段落研究了最佳标记的问题。这里应对来自攻击者和/或被破坏的路由器的伪标记的问题。

下面讨论攻击者所嵌入的欺骗的标记。攻击者可以通过记下伪造的标记来有效阻止追踪。在背景技术PPM方案中，对于v，由最远的路由器所标记的包沿着路径j的概率是

令q_j为包未曾被沿着路径j的任何路由器所标记的概率，

$q_j={(1-p)}^{d_j}.---\left(22\right)$

明显地，如果p＜0.5，则 $q_j>p_j^1\left(v\right)=p{(1-p)}^{d_j-1}.$ 亦即，攻击者可以通过在未标记的包上填写伪造的信息来迷惑v，使得v不能定位每个路径的最远的路由器。甚至更糟的是，欺骗的标记的负面影响不限于最远的路由器，亦即最接近攻击源的路由器。对于平均路径长度为15的情况，最佳标记概率是p＝0.0667。因此，q_j＝0.3553。注意：即使对于离v最近的路由器，也有 $p_j^{15}\left(v\right)=0.0667<q_j,$ 更不用说任何其它较远的路由器(记住p′_j(v)在PPM中是i的单调增函数)。这个例子示出如果攻击者在PPM中嵌入伪造的标记信息，则是多么容易隐瞒受害者v。然而，使用我们的无“重新标记”策略和导出的最佳标记概率p＝1/((d_j-i)+1)，这在ASEM中不再是问题，因为q_j变为0。

下面讨论由被破坏的路由器所引起的欺骗的标记。伪造标记的另一个源是被破坏的路由器。直到现在，背景技术中对该问题的探索做了很少的工作。认征是背景技术所建议的打算确保安全标记的一个方法。与此形成对照，ASEM的实施例打算通过更简单的方法来解决这个问题。

如上所述，BGP路由的使用允许AS_b的下游标记路由器R_b检查由其相邻的AS_a的上游标记路由器R_a所嵌入的标记的正确性，因为R_a的ASPATH属性将会是R_b的ASN和R_b的ASPATH属性的并置。如果发现不匹配，则下游标记路由器可以过滤或丢弃具有欺骗的标记的那些包。随后，如果ASPATH属性用作每个AS处的标记信息，则AS_b处的标记路由器因而可以检查来自其上游邻居AS_a的标记路由器的标记信息的正确性。

下面讨论对大规模DDoS攻击的有效性。用于PPM的背景技术方案对大规模DDoS攻击是无效的。这源自于在IP报头中用于标记的位的数目不足。如上所述，在PPM中路径重建需要两个步骤。一个是每个路由器的完整IP地址的恢复，另一个是每个完整路径的恢复。第一个步骤的性能可能严重降级，因为许多路由器可能具有距受害者相同的距离，并且不存在来自同一路由器的包的线索以组成完整的IP地址。类似地，没有来自同一源的包的线索提供给受害者以有效地重建路径。

本发明的实施例执行使用“链接”信息来识别来自同一路由器的包的想法。注意：在ASEM中只需要一个步骤来进行路径重建，并且只有具有相同链接的包才可以组合成完整的路径。

特别地，ASEM的实施例使用IP报头中的ID域的下一个16位(亦即3位分段旗标域+13位分段偏移域)以存储链接信息。这两个域最初设计成处理分段的业务，这在当今因特网中非常稀少(大约占总体业务的0.25％)。

为了确保在目的地重组成功，所有的分段承载相同的ID。在ASEM的实施例中，当ID域在IP追踪中用于标记时，保持分段旗标和分段偏移域不改变是无意义的。如上所述，“无重新标记”旗标占据分段旗标域的第一位，其为保留位，默认值为0。下一个3位用于记录AS路径的长度。

ASEM的实施例使用散列函数来将第一个路由器的32位IP地址映射到12位散列值，被称为HASHIP。使用这个域作为引导，ASEM在确定来自相同源的包的方面是非常有效的。这样做，ASEM可以处理当前占主导地位的大规模DDoS攻击。

下面是使用HASHIP域的优点：

(1)使用HASHIP作为引导，路径重建过程被显著简化，因为有效避免了恢复路径而进行的节点的盲目组合。

(2)HASHIP域单独可以用作受害者的标识符以阻挡攻击业务，这对于PPM(和大多数其它方案)是不可行的，因为PPM中的路由器的标记信息以多包来分段和传送。

(3)在HASHIP和AS_PATH的帮助下，ASEM可以用于处理大规模DDoS攻击。AS_PATH可以用于区分遍历不同AS的攻击流；HASHIP用于区分在同一AS处从不同源发出的攻击流，因而便于ASEM处理大规模DDoS攻击。

(4)在确定攻击包已经遍历的AS路径之后，只要AS中的入口边缘路由器的数目小于4096(2¹²，我们在这里假设使用理想的散列函数)，沿着攻击路径的第一个AS的系统管理员可以识别从中发出攻击包的入口边缘路由器。

对于PPM，即使受害者可以沿着路径重建入口边缘路由器，仍然会要求相应的AS的系统管理员采取行动，因为受害者没有被授权来管理该路由器。因此，将入口边缘路由器的完整IP地址或HASHIP告知相应的系统管理员是等效的，因为系统管理员可以保持查找表以从HASHIP值中确定IP地址。

下面的段落讨论标记算法。标记和路径重建算法非常类似于PPM的算法。一个不同点是ASEM中的链接信息在恢复每个攻击路径的过程中避免了盲目组合，因而使得路径重建快且有效。在此，我们仅提出标记算法，因为我们的标记算法执行附加的工作亦即标记验证。

标记算法进一步被分成如图3所示的针对第一个标记路由器的算法和针对其它标记路由器的算法(如图4所示)。因而，如果标记路由器从同一AS接收包，则其是第一个标记路由器。相反，如果标记路由器从其它AS得到包，则其不是第一个标记路由器。针对第一个标记路由器，检查FLAG域的值是非常重要的，因为老练的攻击者可以将这个域预设为1，以阻挡任何进一步的标记。针对所有其它标记路由器，它们需要检查AS_PATH域以处理伪造的标记。

在下面的段落中讨论针对ASEM的实施例的性能分析的实验结果。在下面将讨论计算负担。从两个方面——考虑和不考虑实际的路径长度分布——提供ASEM的计算负担与PPM的计算负担的比较。

这一段讨论不考虑真实路径长度分布情况下的不同路径长度下的性能比较。在PPM中，路由器不能提前知道每个路径长度。为了简化分析，假设PPM将使用推荐的标记概率0.04。实验结果将首先示出实施例提供的每个单一优点的有效性，然后示出协同效果。注意图5至图7所示出的N_j和表2至表3中的结果上舍入到最接近的较大整数，亦即

。

这一段讨论最佳标记概率。ASEM相对于背景技术的第一个优点是通过使用最佳标记概率来得到的，如方程(11)所示。

PPM情况下的N_j的值可以通过将p＝0.04带入(15)来获得。针对我们的ASEM的第一个优点，N_j的值通过使用方程(17)来计算。结果示出在图5中。

下面讨论较短的路径长度。图6展示了我们的ASEM相对于PPM的第二个优点。注意：ASEM和PPM以不同的粒度工作。即使针对同一路径，路径长度的值对于PPM和我们的方法也是不同的，因为ASEM工作在AS级别，并且只允许沿着每个路径的标记路由器执行标记。因而，ASEM具有“较短的”路径长度。根据最近的因特网测量，IP级别的路径长度平均起来大约是相应的AS级别的路径长度的3倍。因而，为了简化起见，我们只考虑与AS级别的路径长度2，3，4，...，10相对应的具有路径长度6，9，12，...30的那些IP路径。无论何时比较涉及我们的优点2都会使用该简化。

将两个优点结合到ASEM的实施例中，最终结果示出在图7中。从图中明显的是ASEM的实施例显著优于PPM。

下面讨论考虑真实路径长度分布的性能比较。考虑实际的路径长度分布，可以获得更准确的ASEM的性能图。

我们有两个数据集。一个是来自CAIDA的Skitter项目，另一个是来自Lumeta的因特网映射数据，被称为因特网映射项目，可从http://rcscarch.lumcta.com/ches/map/得到，并且CAIDA的Skitter可以从http://www.caida.org/tools/measurement/skitter/得到。通过以下获得分析结果：对于每个路径长度，简单地对来自两个数据集的路径数目求平均，并且使用该结果作为我们的数据集。由于大多数的IP路径长度落入在(6，30)的范围内(包括边界)，所以可以丢弃长度超出该范围的所有路径。从我们的数据集的其余部分选择总共9804个路径。在这9804个路径中，具有IP路径长度为6，9，12，...或30的3448个路径将用于涉及我们的第二个改进的比较。

为了重建所有的9804个路径(记作集S₁)，考虑两个相关的参数：(1)重建所有路径所需的包的总数N；以及(2)重建路径所需的包的平均数n。类似地，针对所选的3448个路径(记作集S₂)，N’和n’分别用于表示重建所有路径所需的包的总数和平均起来重建路径所需的包的数目。

N、N’、n和n’分别根据方程(23)、(24)、(25)和(26)来计算。结果示出在下面的表2和表3中。

$N=\underset{j\&Element;S_1}{\mathrm{\&Sigma;}}{N}_j.---\left(23\right)$

$N^{\&prime;}=\underset{j\&Element;S_2}{\mathrm{\&Sigma;}}{N}_j.---\left(24\right)$

$n=\frac{N}{9804}.---\left(25\right)$

$n^{\&prime;}=\frac{N^{\&prime;}}{3448}.---\left(26\right)$

在表2中，如在前所述的，我们仅使用那些长度是3的倍数且处于(6，30)范围内(包括边界)的IP路径。注意：近似值看起来对结果影响不大。考虑PPM，平均起来从9804个路径和3448个路径中重建路径所需的标记包的数目分别是544和520。这两个值是非常接近的(差异仅为4.41％)。使用ASEM，平均起来可以实现节省重建路径所需的包的总数的98.85％。

下面讨论实施例的稳健性。ASEM可以应对来自攻击者和被破坏的路由器的欺骗的标记。针对PPM，包沿着路径j未触动(亦即未标记)到达受害者的概率是

为了完全迷惑受害者，将满足下面的不等式，

$q_j={(1-p)}^{d_j}\&GreaterEqual;{\mathrm{\&Sigma;}}_1^{d_j}{p}_j^i\left(v\right).---\left(27\right)$

在这种情况下：

$p\&le;1-2^{(-1/d_j)}.---\left(28\right)$

表2.PPM、我们的ASEM的优点1下的N和n

	PPM	ASEM的优点1
			总数(N)	5,383,968	156,687
平均数(n)	544	16

表3.PPM、我们的优点2和两个优点1-2下的N’和n’

PPM

优点2

优点1-2

总数(N’)	1,789,336	30,986	20,511
				平均数(n’)	520	9	6

针对平均路径长度为15的情况，如果p≤0.04516，则方程(28)成立。因此，使用推荐值p＝0.04将严重阻碍重建，并且产生高的错误肯定。相反地在ASEM中有q_j＝0。换言之，即使攻击者设置的所有包都用假标记记下，当包沿着攻击路径遍历时，这些伪标记信息也会被来自路由器的正确标记信息完全重写。因此，使用ASEM的这个优点，我们在优化N_j的同时将来自攻击者的欺骗的标记根除。

针对被破坏的路由器，ASEM通过检查标记信息的正确性来防止其不利影响。与使用认证的背景技术方案相比，ASEM引入了少得多的开销。

下面讨论针对错误肯定的ASEM的实施例的性能。特别地，与背景技术相比，在ASEM的实施例的情况下，较少的标记位是可能的。

造成高的错误肯定的一个原因是标记位不足。在PPM中，受害者不得不将包与8个分段结合以确定32位IP地址，而这个步骤在ASEM中不是必须的。进而，在ASEM中用于一个路由器的标记信息是16位，只是PPM中所需的一半。因此，由组合激增所引起的错误肯定通过这两个因素而得到显著缓解。

下面讨论链接信息。ASEM中的链接信息可以有效地避免路径重建中的盲目结合。这特别在大规模DDoS攻击中是非常重要的，大规模DDoS攻击是当前的主导攻击模式。12位链接信息可以用作路径重建中的引导。

下面讨论减少的路径长度。还要注意由较接近受害者的路由器所引起的错误肯定的“雪崩”效应。在路径重建期间，如果作为离开受害者的h跳段的路由器R被误加入到攻击路径中，那么这将影响定位路由器h+1跳段偏离。h越小，错误肯定越高。一般而言，路径长度缩减可以指数地减少错误肯定，因而赞成ASEM方法。

实施例提供了用于IP追踪的稳健且最佳的标记方案。第一，实施例针对路径重建的优化提供了量度。注意：路径重建是包标记的基本目标。使用这个量度作为准则，上面已经提出了ASEM相对于背景技术的两个优点。通过将两个优点结合起来，可以看到ASEM相对于背景技术具有若干附加优点。第一，最佳标记概率：前面的段落导出了最佳标记概率，并且提出了切实的执行方式。与传统PPM相比，平均起来可以减少多达98.85％的标记包。第二，稳健的标记：ASEM不仅可以处理攻击者所做的欺骗标记，而且还可以处理由被破坏的路由器所引起的假标记。第三，对处理在当前因特网环境中占主导地位的大规模DDoS攻击的有效性。第四，减少的错误肯定：高的错误肯定由于上述优点而被有效抑制。第五，局部部署。第六，幂定律因特网便于ASEM的有效局部部署。

当然应该理解，虽然刚刚描述了特定的实施例，但是请求保护的主题不限于特定实施例或实施方式的范围。例如，一个实施例可以用硬件实现，如被实现以例如在设备或设备的组合上运行，而另一个实施例则可以用软件实现。同样地，实施例可以用固件实现，或者例如作为硬件、软件和/或固件的任何组合而被实现。同样地，虽然请求保护的主题在范围上不限于这个方面，但是一个实施例可以包括一个或多个物品，如一个或多个存储介质。诸如像一个或多个CD-ROM和/或盘之类的这种存储介质可以在其上存储指令，该指令当由诸如像计算机系统、计算平台或其它系统之类的系统执行时，可以导致诸如像前述实施例中之一之类的根据请求保护的主题的方法的实施例被执行。作为一个潜在的例子，计算平台可以包括一个或多个处理单元或处理器、一个或多个输入/输出设备如显示器、键盘和/或鼠标和/或一个或多个存储器如静态随机存取存储器、动态随机存取存储器、快闪存储器和/或硬盘驱动器。例如，显示器可以用于显示诸如可能相互关联的一个或多个查询和/或一个或多个树表示，尽管请求保护的主题仍然在范围上不限于这个例子。同样地，实施例可以作为系统而被实现，或者作为诸如计算机系统、移动和/或其它类型的通信系统和其它公知的电子系统之类的部件的任何组合而被实现。

在前面的说明中描述了请求保护的主题的不同方面。为了说明起见，阐述了特定的数字、系统和/或配置以提供对请求保护的主题的全面理解。然而，对受益于本公开的本领域技术人员而言应该明显的是，在不使用详细细节的情况下也可以实施请求保护的主题。在其它实例中，公知的特征被省略和/或简化，以便不使请求保护的主题模糊。尽管在此已经说明和/或描述了特定特征，但是本领域技术人员也将会想出许多修改、替换、改变和/或等效。因此，应该理解的是，所附权利要求打算覆盖落入请求保护的主题的真实精神内的所有的这种修改和/或改变。

Claims (20)

1.一种用于因特网协议(IP)追踪的方法，包括：

在路由器处接收一个或多个包；

使用标记信息仅在自治系统(AS)级别的标记路由器处记下包；以及

将标记的包转发到边缘路由器和其它路由器以便验证，

其中基于概率测度来标记所述包，并且

其中边界网关协议(BGP)路由表信息是用于标记和验证的AS级别信息。

2.根据权利要求1所述的用于IP追踪的方法，其中通过随机数是否小于最佳的标记概率来确定所述概率测度。

3.根据权利要求2所述的用于IP追踪的方法，其中用于标记和验证的BGP路由表信息是自治系统数目(ASN)和ASPATH属性。

4.根据权利要求3所述的用于IP追踪的方法，其中用于标记和验证的BGP路由表信息还包括自治系统数目(ASN)和ASPATH属性中的至少一个。

5.根据权利要求4所述的用于IP追踪的方法，其中标记信息还包括识别标记的包的旗标、路径长度属性以及所述标记路由器的IP地址的散列函数。

6.根据权利要求5所述的用于IP追踪的方法，其中验证还包括将上游和下游标记信息进行比较以确认上游和下游标记信息之间的仅有的差异是上游路由器的ASN。

7.一种包含软件代码的处理器可读介质，所述软件代码当由处理器执行时，使所述处理器执行用于IP追踪的方法，所述方法包括：

在路由器处接收一个或多个包；

使用标记信息仅在自治系统(AS)级别的标记路由器处记下包；以及

将标记的包转发到边缘路由器和其它路由器以便验证，

其中基于概率测度来标记所述包，并且

其中边界网关协议(BGP)路由表信息是用于标记和验证的AS级别信息。

8.根据权利要求7所述的处理器可读介质，其中通过随机数是否小于最佳的标记概率来确定所述概率测度。

9.根据权利要求8所述的处理器可读介质，其中用于标记和验证的BGP路由表信息是自治系统数目(ASN)和ASPATH属性。

10.根据权利要求9所述的处理器可读介质，其中用于标记和验证的BGP路由表信息还包括自治系统数目(ASN)和ASPATH属性中的至少一个。

11.根据权利要求10所述的处理器可读介质，其中标记信息还包括识别标记的包的旗标、路径长度属性以及所述标记路由器的IP地址的散列函数。

12.根据权利要求11所述的处理器可读介质，其中验证还包括将上游和下游标记信息进行比较以确认上游和下游标记信息之间的仅有的差异是上游路由器的ASN。

13.根据权利要求12所述的处理器可读介质，其中被破坏的路由器和被损害的路由器不相邻。

14.根据权利要求13所述的处理器可读介质，其中攻击至少包括几十个包。

15.一种用于IP追踪的系统，包括：

多个自治系统；

路由器，配置成使所述多个自治系统互连，其中所述路由器还包括：

标记路由器，配置成标记由所述多个自治系统所接收的包；以及

边缘路由器和其它路由器，其与所述标记路由器互连并配置成验证由所述标记路由器所标记的包，

其中所述标记路由器、边缘路由器和其它路由器还包括处理器，所述处理器配置成执行如权利要求7所述的软件可读介质。

16.根据权利要求15所述的系统，其中用于标记和验证的BGP路由表信息是自治系统数目(ASN)和ASPATH属性。

17.根据权利要求16所述的系统，其中标记和验证的BGP路由表信息还包括自治系统数目(ASN)和ASPATH属性中的至少一个。

18.根据权利要求17所述的系统，其中标记信息还包括识别标记的包的旗标、路径长度属性以及所述标记路由器的IP地址的散列函数。

19.根据权利要求18所述的系统，其中验证还包括将上游和下游标记信息进行比较以确认上游和下游标记信息之间的仅有的差异是上游路由器的ASN。

20.根据权利要求19所述的系统，其中被破坏的路由器和被损害的路由器不相邻，并且其中攻击至少包括几十个包。

Images