CN110086819B - 基于frit的攻击溯源方法 - Google Patents
基于frit的攻击溯源方法 Download PDFInfo
- Publication number
- CN110086819B CN110086819B CN201910368966.3A CN201910368966A CN110086819B CN 110086819 B CN110086819 B CN 110086819B CN 201910368966 A CN201910368966 A CN 201910368966A CN 110086819 B CN110086819 B CN 110086819B
- Authority
- CN
- China
- Prior art keywords
- router
- data packet
- mark
- tracing
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/26—Route discovery packet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于FRIT的攻击溯源方法,所述方法结合数据包标记和路由记录两种方法进行溯源,首先,将路由器接口编号为0‑n;其次,将数据包的标记值设为该数据包转入到路由器所经过的接口的编号,并将数据包的旧标记值存储在路由器中,从而达到标记攻击路径的作用;最后,通过标记值和路由器日志重构攻击路径以达到溯源目的。本发明所提出的攻击溯源方案FRIT仅需一个数据包即可完成溯源任务,大大减少了溯源过程的复杂程度,并且在保证溯源精确率的同时对减缓了路由器的存储负担。
Description
技术领域
本发明涉及一种攻击溯源方法,具体涉及一种基于路由器的FRIT(Fast RouteInterface Traceback)攻击溯源方法。
背景技术
攻击溯源方法可以大致可以分为四类,其中,链路测试、通过ICMP包回溯和日志记录方案因回溯时间以及各类资源的限制,已经很少有对这三类方法进行研究改进,而最近比较流行的数据包标记方案因其不受攻击时间影响而成为目前的主流溯源方法。而根据溯源方案所使用协议层次的不同,其可以通过数据链路层和网络层两种方式进行回溯,其中,数据链路层通过对数据链路进行试探性检测,并根据检测结果确定某条链路是否为攻击链路,从而重构完整的攻击路径。但是,这类方法有其局限性,即如果在路径没有完全重构时,攻击行为停止了,那么将无法继续重构。由于这一缺点,大部分研究集中在网络层溯源,而对链路层溯源的相关研究很少,而在网络层溯源中,基于路由器接口的方案可以高效准确的进行溯源,因此,已经成为目前溯源研究中的重点。
有研究者提出的RIHT溯源方案就是一种使用路由器接口的方案,其使用路由器日志记录和包标记混合的方式进行标记回溯。在计算方式上,其使用简单的乘除减少计算时间;在存储方式上,其使用哈希表数据结构,以减少搜索时间。但是,由于哈希方法必然会有冲突,从而导致日志记录时间较高的问题。
发明内容
本发明针对WEB攻击后重构攻击路径问题问题,本发明在计算时间上和存储开销上对现有攻击溯源方法进行改进,提供了一种基于FRIT的攻击溯源方法。该方法减少了溯源过程的复杂程度,并且在保证溯源精确率的同时减缓了路由器的存储负担。
本发明的目的是通过以下技术方案实现的:
一种基于FRIT的攻击溯源方法,结合数据包标记和路由记录两种方法进行溯源,首先,将路由器接口编号为0-n;其次,将数据包的标记值设为该数据包转入到路由器所经过的接口的编号,并将数据包的旧标记值存储在路由器中,从而达到标记攻击路径的作用;最后,通过标记值和路由器日志重构攻击路径以达到溯源目的。具体包括如下步骤:
步骤一、数据包标记与日志记录
(1)将路由器接口编号为0-n,在路由器中建立一个动态二维数组,所述动态二维数组行和列的最大值为n,n为路由器的连接接口的总数;
(2)假设路由器k接受数据包的上游路由器接口号为UP k ,数据包转出的接口号为DW k ,数据包中标记值为mark,则在路由器k的动态二维数组中设置RT[UP k ][DW k ]=mark,并将数据包中标记值mark更新为UP k ,即mark new =UP k ,然后转发此数据包,直至到达受害者;
步骤二、攻击溯源
(1)假设受害者最终收到的数据包标记值为mark_req,数据包转入受害者主机所经过的接口为UP k ,则将带有mark_req值溯源请求包从UP k 所对应的接口转出;
(2)假设路由器k接受溯源请求数据包的上游路由器接口号为UP k ,数据包转出的接口号为DW k ,数据包中请求标记值为mark_req,首先判断mark_req所对应的接口是否为边界路由器,如果是,则找到攻击者所在局域网,如果不是,则将溯源请求数据包的标记值mark_req new 设为RT[mark_req][UP k ],并将溯源请求数据包从mark_req所对应的接口转出;重复此过程直至找到攻击者所在局域网。
相比于现有技术,本发明具有如下优点:
1、本发明提出的溯源方案FRIT通过在路由器上记录上游路由器接口号并将其作为标记值记录在数据包中向下传递的方式进行标记,在触发回溯请求之后,通过标记值和路由器日志重构攻击路径。该方案采用了一种简单高效的数据结构,在日志记录过程中减少了日志记录时间,并在回溯过程中减少了搜索时间,可以在存储和计算开销极小条件下快速精准的通过单包进行溯源。
2、本发明针对现有WEB攻击溯源技术的存储开销大和溯源效率低的问题提出了基于路由接口的单包溯源方案FRIT。此方案的基本思想是通过在路由器上记录上游路由器接口号并将其作为标记值记录在数据包中向下传递的方式进行标记,在触发回溯请求之后,通过标记值和路由器日志重构攻击路径。通过此方案可以较少的使用路由器存储空间,并且减少了路由器计算开销。同时,因数据结构不存在冲突,因此,不会出现错误分类路由器为攻击节点的问题。
3、本发明所提出的攻击溯源方案FRIT仅需一个数据包即可完成溯源任务,大大减少了溯源过程的复杂程度,并且在保证溯源精确率的同时对减缓了路由器的存储负担。
附图说明
图1是本发明的简要拓扑图。
图2是本发明与现有单包攻击溯源方案RIHT的溯源速度对比图。
具体实施方式
下面结合附图对本发明的技术方案作进一步的说明,但并不局限于此,凡是对本发明技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的保护范围中。
本发明提供了一种基于FRIT的攻击溯源方法,所述方法分为路由日志记录方案设计和发起溯源后的重构攻击路径的方案设计两部分。以下将详细介绍FRIT攻击溯源方案在这两个方面的方案设计。
(1)路由日志记录方案设计
FRIT溯源方案需要在网络拓扑中的所有路由器中运行,并且用IPV4数据包中的8位的TOS字段存储路由过程中的标记值,数据包的标记值在各个路由器的转发期间不断更新,另外,在路由器中需要建立一个动态二维数组,并根据具体需要申请内存空间,动态二维数组行和列的最大值为n,n为路由器的连接接口的总数。具体溯源方案算法如表1所示。
表1
(2)攻击路径重构方案设计
本发明所提方案FRIT通过表2所述算法进行回溯:
表2
实施例:
图1是本发明的简要拓扑图,基于图1简要介绍本发明的工作流程:
(1)标记过程
表1展示了数据包在转发过程中的标记值变化和攻击路径上路由器所存储的值。假设攻击者从其在R1路由器所连接的局域网中发出一个攻击包,攻击包从R1的0口进入,2口转出,即UP1=0,mark=UP1,DW1 = 2,i = UP1,j = DW1,因R1在此路由过程为边界路由器,则设置RT[i][j] = 255,即RT[0][2] = 255,然后,通过路由器接口2将该数据包发送给核心路由器R2;因R2从该路由器3号接口收到数据包并即将从4口接口将数据包转出,此时数据包的标记值0,则 ,将相关变量带入得。而此时marknew为接收数据包的接口号3,即marknew=3,并用marknew更新数据包中的标记值后通过4口转发此数据包。与上述过程类似,在R3路由器中,RT[2][5]=3,marknew=2,R6中,RT[10][1]=2,marknew=10,这个过程一直持续到攻击包到达受害者主机停止。本次攻击中,在受害者主机收到攻击包时,攻击包中的标记值为232。
表1 标记过程中标记值和路由器存储值变化
(2)溯源过程
攻击包在最后的标记值mark为232,则溯源过程中初始mark_req = 232,并将此请求数据包转发给边缘路由器,当路由器R9收到从接口号11(设为j)转入的请求数据包后,获得数据包的请求标记值232(设为i),i和j分别代表路由器存储的二维数组的行和列,则可得到RT[i][j]的值j,更新请求标记值为13,即mark_reqnew = 13,并将此溯源请求从11口转发,数据包将从R8的6口转入,因数据包中的标记值为13,则获取R8路由器中RT[13][6]的值为10,更新请求标记值mark_reqnew = 10,并将此溯源请求从13口转发,重复这个过程,直到数据包到达R1后得到RT[0][2]为255并且0接口所连接的为局域网则结束,这个局域网就是攻击者网络位置所在。表2展示了从攻击溯源请求开始后请求标记值的变化和上游路由器的寻找过程。
表2 标记过程中标记值和路由器存储值变化
Claims (2)
1.一种基于FRIT的攻击溯源方法,其特征在于所述方法包括如下步骤:
步骤一、数据包标记与日志记录
(1)将路由器接口编号为0-n,在路由器中建立一个动态二维数组,n为路由器的连接接口的总数;
(2)假设路由器k接受数据包的上游路由器接口号为UP k ,数据包转出的接口号为DW k ,数据包中标记值为mark,则在路由器k的动态二维数组中设置RT[UP k ][DW k ]=mark,并将数据包中标记值mark更新为UP k ,即mark new =UP k ,然后转发此数据包,直至到达受害者;
步骤二、攻击溯源
(1)假设受害者最终收到的数据包标记值为mark_req,数据包转入受害者主机所经过的接口为UP k ,则将带有mark_req值溯源请求包从UP k 所对应的接口转出;
(2)假设路由器k接受溯源请求数据包的上游路由器接口号为UP k ,数据包转出的接口号为DW k ,数据包中请求标记值为mark_req,首先判断mark_req所对应的接口是否为边界路由器,如果是,则找到攻击者所在局域网,如果不是,则将溯源请求数据包的标记值mark_ req new 设为RT[mark_req][UP k ],并将溯源请求数据包从mark_req所对应的接口转出;重复此过程直至找到攻击者所在局域网。
2.根据权利要求1所述的基于FRIT的攻击溯源方法,其特征在于所述动态二维数组行和列的最大值为n。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910368966.3A CN110086819B (zh) | 2019-05-05 | 2019-05-05 | 基于frit的攻击溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910368966.3A CN110086819B (zh) | 2019-05-05 | 2019-05-05 | 基于frit的攻击溯源方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110086819A CN110086819A (zh) | 2019-08-02 |
CN110086819B true CN110086819B (zh) | 2021-08-17 |
Family
ID=67418564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910368966.3A Active CN110086819B (zh) | 2019-05-05 | 2019-05-05 | 基于frit的攻击溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110086819B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112866243B (zh) * | 2021-01-15 | 2022-02-25 | 北京航空航天大学 | 一种基于单包溯源的DDoS攻击检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
US7873997B2 (en) * | 2004-03-12 | 2011-01-18 | New Jersey Institute Of Technology | Deterministic packet marking |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9060019B2 (en) * | 2013-02-25 | 2015-06-16 | Quantum RDL, Inc. | Out-of band IP traceback using IP packets |
-
2019
- 2019-05-05 CN CN201910368966.3A patent/CN110086819B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7873997B2 (en) * | 2004-03-12 | 2011-01-18 | New Jersey Institute Of Technology | Deterministic packet marking |
CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
Non-Patent Citations (4)
Title |
---|
"A More Practical Approach for Single-Packet IP Traceback Using Packet Logging and Marking";Chao Gong;《IEEE TRANSACTIONS ON PARALLEL AND DISTRIBUTED SYSTEMS》;20081031;全文 * |
"Low-Rate DDoS Attacks Detection and Traceback by Using New Information Metrics";Yang Xiang;《Low-Rate DDoS Attacks Detection and Traceback by Using New Information Metrics》;20110630;全文 * |
"RIHT: A Novel Hybrid IP Traceback Scheme";Ming-Hour Yang;《IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY》;20120430;全文 * |
"一种高精度、低开销的单包溯源方法";鲁宁;《软件学报》;20171031;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110086819A (zh) | 2019-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7420972B1 (en) | Multicast packet replication | |
CN105706400B (zh) | 在网络上转发分组的方法和装置 | |
CN101834802B (zh) | 转发数据包的方法及装置 | |
EP3777055B1 (en) | Longest prefix matching | |
CN102215136B (zh) | 流量拓扑生成方法和装置 | |
US20180287942A1 (en) | Forwarding Data Packets | |
EP2997702B1 (en) | Compressing singly linked lists sharing common nodes for multi-destination group expansion | |
US9391893B2 (en) | Lookup engine for an information handling system | |
CN106209648B (zh) | 跨虚拟可扩展局域网的组播数据报文转发方法和设备 | |
CN105471747B (zh) | 一种智能路由器选路方法和装置 | |
CN110224935A (zh) | 一种处理组播数据报文的方法及装置 | |
CN107113191A (zh) | 数据中心结构网络中的内联数据包追踪 | |
WO2013078644A1 (zh) | 路由前缀存储方法、装置及路由地址查找方法、装置 | |
CN106209689A (zh) | 从vxlan至vlan的组播数据报文转发方法和设备 | |
CN102801727A (zh) | 一种基于自治域系统的DDoS攻击追踪方法 | |
CN109981464A (zh) | 一种在fpga中实现的tcam电路结构及其匹配方法 | |
CN104038384A (zh) | 一种基于gbf的追踪溯源系统及其工作方法 | |
CN110086819B (zh) | 基于frit的攻击溯源方法 | |
CN107786497A (zh) | 生成acl表的方法和装置 | |
CN102916891B (zh) | 一种通信网络的路由方法和一种路由节点 | |
EP3944582B1 (en) | Monitoring of abnormal host | |
CN106209554A (zh) | 跨虚拟可扩展局域网的报文转发方法和设备 | |
CN107404440A (zh) | 一种转发表项发送方法、报文转发方法及装置 | |
Borokhovich et al. | The show must go on: Fundamental data plane connectivity services for dependable SDNs | |
CN109768909A (zh) | 报文转发方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |