CN109302427B - 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 - Google Patents
一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 Download PDFInfo
- Publication number
- CN109302427B CN109302427B CN201811459308.7A CN201811459308A CN109302427B CN 109302427 B CN109302427 B CN 109302427B CN 201811459308 A CN201811459308 A CN 201811459308A CN 109302427 B CN109302427 B CN 109302427B
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- link
- network
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开的一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施,找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的,弥补了目前对于考虑攻击精度的混合链路洪泛攻击的策略防御措施的空缺。
Description
技术领域
本发明涉及网络基础设施安全领域,具体为一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法。
背景技术
近年来频繁发生的网络基础设施攻击事件受到全世界的广泛关注,企业和个人也十分重视网络的安全性。分布式拒绝服务攻击(Distributed Denial of Service,DDoS)指攻击者控制大量在线设备向攻击目标发送大量正常或非正常的请求,由于目标主机的网络资源(如文件描述符、缓冲区等)有限,攻击者操纵的大量请求会耗尽资源,使得被攻击的主机无法为合法用户提供正常的服务。2015年网易旗下部分服务因骨干链路遭受攻击而不可用,这是最近发现的一类新型DDoS攻击,链路洪泛攻击(Link Flooding Attack,LFA),也可称为骨干链路DDoS攻击。传统的分布式拒绝服务攻击的直接目标是终端计算机服务,而链路泛洪攻击的攻击目标是构成互联网骨干网络的中间关键链路。在吸引学术界很长时间后,目前已有攻击者在实际网络中进行链路洪泛攻击,对大型地区性网络造成了严重的威胁。链路洪泛可能会出现攻击牵连的问题,从而限制了攻击的适用性。当攻击者的目的是通过攻击网络中的某个特定链路来切断某个特定网络的网络连接时,该网络周围网络的网络连接可能受到牵连(即攻击牵连)。由于攻击牵连的存在,链路洪泛攻击在攻击特定网络的同时会意外的牵连周围无辜网络的网络连接,因此链路洪泛攻击的攻击精度降低了。为了提高攻击精度,攻击者可能使用考虑攻击精度的骨干链路DDoS攻击策略。
目前的寻找链路洪泛攻击的目标链路集的方法主要针对传统攻击方式,没有考虑到攻击者可能采用的考虑攻击精度的方式。
发明内容
针对现有技术中存在的问题,本发明提供一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,能够准确找出的攻击者可能攻击的目标链路,进行有效的防御。
本发明是通过以下技术方案来实现:
一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源PlanetLab服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
可选的,还包括以下步骤;
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠。
与现有技术相比,本发明具有以下有益的技术效果:
该定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施,找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的。
附图说明
图1为本发明定位攻击目标链路的方法的原理图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,所述是对本发明的解释而不是限定。
一种寻找考虑攻击精度的混合链路洪泛攻击策略的防御措施,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
步骤2:将攻击者可能攻击的目标网络设为将攻击者可能误伤的网络设为将从源服务器到的路由设置为将从源服务器到的路由设置为将中出现过的链路集设置为将攻击者可能攻击的目标链路集设置为空集,攻击者切断的通往目标网络的路由设置为空集,同时设置一个攻击者切断的通往目标网络路由数量的目标值以及攻击者选择目标链路数量的预选上限值Φ;
步骤3:对于traceroute数据中的每一条链路l,计算攻击每一条链路l切断的通往目标网络的路由数;
例如,对于traceroute数据中的每一条链路l,如'(130.206.245.94)','(83.97.88.129)','(62.40.98.73)','(62.40.98.152)'中的链路['(130.206.245.94)','(83.97.88.129)']、链路['(83.97.88.129)','(62.40.98.73)']和链路['(62.40.98.73)','(62.40.98.152)'],计算攻击l切断的通往目标网络的路由数,如链路['(62.40.98.73)','(62.40.98.152)']出现在5条traceroute路由数据中,则攻击链路['(62.40.98.73)','(62.40.98.152)']切断的通往目标网络的路由数为5。
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠,以及提高链路重要性分配到不同网络的熵。
本发明提出的一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,弥补了目前对于考虑攻击精度的骨干链路DDoS攻击的防御措施的空缺,考虑攻击精度的骨干链路DDoS攻击策略阻止攻击流量流向那些造成更严重的攻击牵连的链路,而选择将攻击流量导向到攻击牵连更小而攻击精度更高的链路。
模拟测试及结果
如图1所示,攻击者部署的僵尸主机协调发出巨大的网络流量,到目标受害网络中的公共服务器(或掩体服务器、僵尸主机)。掩体服务器是指目标网络外提供开放服务的公共服务器(如HTTP、FTP服务器)。攻击者协调发出的巨大的攻击流量将极大的聚集在目标链路。这些大量攻击流量是低频、看起来很像合法流量同时可以欺骗网络协议的。在造成大量的网络瘫痪之前,通常攻击流量是很难被识别的。洪泛目标链路也将导致无辜受害网络的网络连接受到影响,这是因为无辜受害网络内的主机与无辜网络外部的主机的数据连通同样会经过攻击者选出的目标链路。考虑攻击精度的骨干链路DDoS攻击策略即考虑到攻击对无辜受害网络的影响,调整攻击策略实现精准打击,将对无辜网络的网络连接的影响降低,而对目标受害网络的攻击效果不变。精准防御考虑攻击精度的骨干链路DDoS攻击有一定的难度。
本申请模拟了攻击者采用考虑攻击精度的攻击策略,从分布在全球的81个源服务器模拟攻击957台位于新加坡的主机。如果攻击者采用考虑攻击精度的攻击策略试图切断50%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有47.59%的攻击路由能被防御者发现并防御。如果攻击者采用考虑攻击精度的攻击策略试图切断60%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有53.67%的攻击路由能被防御者发现并防御。如果攻击者采用考虑攻击精度的攻击策略试图切断70%通往新加坡的路由,而防御者根据传统的防御方式进行防御,那么仅有61.39%的攻击路由能被防御者发现并防御。如防御者考虑到攻击者可能采用考虑攻击精度的攻击策略,那么理论上100%的攻击路由都能被防御者成功地发现。
链路洪泛攻击作为一种新型DDoS攻击,对大规模网络产生巨大的威胁。因链路洪泛攻击不直接攻击目标网络,而是通过攻击网络中的骨干链路来切断目标网络的网络连接,所以对链路洪泛攻击的防御难度较大。同时攻击者可能改良传统的链路洪泛攻击方法,来增加链路洪泛攻击的精度,减少对其他区域的误伤,实现精准打击。针对考虑攻击精度的链路洪泛攻击,需针对这种攻击策略的特点部署具有针对性的防御策略。如果只是使用防御传统链路洪泛攻击的策略,无法有效防御攻击者可能使用的新型考虑攻击精度的攻击方法,无法防御链路洪泛攻击,攻击者可能对目标网络产生长期的影响,同时因为其他网络的所受影响较小,可能使防御者混淆攻击者采用的攻击方式,从而可能采取错误的防御方式。
本申请充分考虑攻击者可能采用的考虑攻击精度的攻击策略,精准找到攻击者可能攻击的目标链路,部署防御措施。找出的攻击者可能攻击的目标链路,考虑了攻击者同时注重攻击绩效的目的。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (2)
1.一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,其特征在于,包括以下步骤:
步骤1:给定某个攻击者攻击的目标网络,通过分布在全球的源PlanetLab服务器执行traceroute到攻击者攻击的目标网络,收集网络路由数据;
2.根据权利要求1所述定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法,还包括以下步骤;
步骤7:根据步骤6得到要攻击的目标链路集,增加目标链路集的重叠。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811459308.7A CN109302427B (zh) | 2018-11-30 | 2018-11-30 | 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811459308.7A CN109302427B (zh) | 2018-11-30 | 2018-11-30 | 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109302427A CN109302427A (zh) | 2019-02-01 |
CN109302427B true CN109302427B (zh) | 2020-06-19 |
Family
ID=65141976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811459308.7A Active CN109302427B (zh) | 2018-11-30 | 2018-11-30 | 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109302427B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114157446B (zh) * | 2021-10-15 | 2023-03-28 | 西安交通大学 | 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
CN101447899A (zh) * | 2008-11-14 | 2009-06-03 | 北京工业大学 | 无线Mesh网络中基于端到端的虫洞攻击检测方法 |
CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测系统及检测方法 |
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及系统 |
CN105791275A (zh) * | 2016-02-25 | 2016-07-20 | 上海交通大学 | 基于模运算的拒绝服务攻击返回追踪方法 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
-
2018
- 2018-11-30 CN CN201811459308.7A patent/CN109302427B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
CN101447899A (zh) * | 2008-11-14 | 2009-06-03 | 北京工业大学 | 无线Mesh网络中基于端到端的虫洞攻击检测方法 |
CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测系统及检测方法 |
CN105007271A (zh) * | 2015-07-17 | 2015-10-28 | 中国科学院信息工程研究所 | 一种DDoS攻击僵尸网络的识别方法及系统 |
CN105791275A (zh) * | 2016-02-25 | 2016-07-20 | 上海交通大学 | 基于模运算的拒绝服务攻击返回追踪方法 |
CN108289104A (zh) * | 2018-02-05 | 2018-07-17 | 重庆邮电大学 | 一种工业SDN网络DDoS攻击检测与缓解方法 |
Non-Patent Citations (1)
Title |
---|
王志刚." DDoS网络攻击的检测方法研究".《中国优秀硕士学位论文全文数据库 信息科技辑》.2016, * |
Also Published As
Publication number | Publication date |
---|---|
CN109302427A (zh) | 2019-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
Yaar et al. | Pi: A path identification mechanism to defend against DDoS attacks | |
Peng et al. | Protection from distributed denial of service attacks using history-based IP filtering | |
US7356689B2 (en) | Method and apparatus for tracing packets in a communications network | |
Guangsen et al. | Cooperative defence against DDoS attacks | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
CN109327426A (zh) | 一种防火墙攻击防御方法 | |
Zang et al. | Botnet detection through fine flow classification | |
Seo et al. | APFS: adaptive probabilistic filter scheduling against distributed denial-of-service attacks | |
Singh et al. | A MAC layer based defense architecture for reduction of quality (RoQ) attacks in wireless LAN | |
CN109302427B (zh) | 一种定位考虑攻击精度的骨干链路DDoS攻击目标链路的方法 | |
Chen et al. | A novel DDoS attack defending framework with minimized bilateral damages | |
Farhat | Protecting TCP services from denial of service attacks | |
CN114157446B (zh) | 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质 | |
Kumar et al. | An integrated approach for defending against distributed denial-of-service (DDoS) attacks | |
Chi et al. | Detecting and blocking malicious traffic caused by IRC protocol based botnets | |
Khirwadkar | Defense against network attacks using game theory | |
Park et al. | An effective defense mechanism against DoS/DDoS attacks in flow-based routers | |
Tajane et al. | Effective detection and prevention of ddos in cloud computing environment | |
Singh et al. | Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment | |
Dahiya et al. | Honeynet based Defensive mechanism Against DDoS Attacks | |
CN113765858A (zh) | 一种实现高性能状态防火墙的方法及装置 | |
Fadlallah et al. | A hybrid messaging-based scheme for IP traceback | |
David et al. | Router based approach to mitigate DOS attacks on the wireless networks | |
Kotenko et al. | Packet level simulation of cooperative distributed defense against Internet attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |