CN1777182A - 一种基于洪泛攻击的高效、安全追踪方案 - Google Patents

一种基于洪泛攻击的高效、安全追踪方案 Download PDF

Info

Publication number
CN1777182A
CN1777182A CNA2005101228482A CN200510122848A CN1777182A CN 1777182 A CN1777182 A CN 1777182A CN A2005101228482 A CNA2005101228482 A CN A2005101228482A CN 200510122848 A CN200510122848 A CN 200510122848A CN 1777182 A CN1777182 A CN 1777182A
Authority
CN
China
Prior art keywords
node
territory
limit
packet
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2005101228482A
Other languages
English (en)
Inventor
王汝传
李金明
任勋益
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Post and Telecommunication University
Original Assignee
Nanjing Post and Telecommunication University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Post and Telecommunication University filed Critical Nanjing Post and Telecommunication University
Priority to CNA2005101228482A priority Critical patent/CN1777182A/zh
Publication of CN1777182A publication Critical patent/CN1777182A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

基于洪泛攻击的高效、安全追踪方案是一种主动防御DoS/DDoS攻击的方案,通过追踪到攻击源,从而能从源头上对攻击进行抑制;同时可以通过追踪到攻击源头,为进一步追究攻击者的责任提供证据,从而威慑攻击者。另外,通过对算法的研究,从算法本身强化了其自身的安全性,增强了算法的抗干扰性。本方案采用新的标记概率选取方法来代替原来的每个路由转发节点的固定概率方法,使得攻击路径重构时的性能得到很大的优化。同时,在方案中增加了对攻击者伪造信息的抗干扰能力,使得标记方案的自身安全性能得到了极大的提高。

Description

一种基于洪泛攻击的高效、安全追踪方案
技术领域
本发明是一种针对洪泛攻击的攻击源追踪方案。主要用于解决发生洪泛网络攻击的情况下,查找攻击源头,从而在攻击源头遏制攻击,同时保证自身算法的安全性,属于网络安全技术领域。
背景技术
拒绝服务攻击(DoS,Denial of Service)和分布式拒绝服务攻击(DDoS,Distributed Denial of service)是当今网络攻击中最为普遍的网络攻击,而其中,洪泛攻击是最为有效的攻击手段,是黑客们的终极工具,受到一些别有用心之徒青睐。为了对抗攻击,许多公司投入了大量的成本,也提出了一些行之有效的方案。方案主要集中在两个方面:一种是从过滤网络攻击流量角度出发,主要方案有Ingress filtering和Routed-Based filtering。然而,正如一些专家们所指出的那样,DoS/DDoS攻击是没有办法从根本上来防范的,这主要是因为如今的Internet网络协议的根本缺陷所造成的。例如,利用TCP协议的应用层协议,都需要首先经过TCP的三次握手来建立连接,如是,攻击者就可以利用协议的这个缺陷,发送大量的Syn报文给服务器,但又不完成这次连接。这种未完成三次握手过程的连接称为半连接。结果在服务器上大量的资源被攻击者所发起的半连接所消耗,使得正常的网络用户的正常请求反而得不到应答,从而产生了DoS/DDoS攻击。还有就是利用IP协议的缺陷,伪造虚假的IP地址,发送大量的无用报文,消耗服务器端的网络带宽资源,使得正常网络用户的正常请求被淹没在这些无用的报文之中,造成DoS/DDoS攻击。不论是资源耗尽型的攻击还是网络带宽资源耗尽型的攻击,都是利用了TCP/IP协议的固有缺陷。要想彻底的防范这些攻击,就只能更改目前的网络协议,但这暂时是无法实现的。另一种方案是从追踪攻击者的位置、身份的角度出发,这也是研究的热点,目的是从攻击源上阻止攻击的发生以及威慑攻击者,目前也与一些研究成果,但目前的这些方案要么由于性能问题,无法应用,要么自身的算法存在安全隐患,使得应用前景不佳。
发明内容
技术问题:本发明的目的是提供一种基于洪泛攻击的高效、安全追踪方案,该方案是一种主动防御DoS/DDoS攻击的方案,通过追踪到攻击源,从而能从源头上对攻击进行抑制;同时可以通过追踪到攻击源头,为进一步追究攻击者的责任提供证据,从而威慑攻击者。另外,通过对算法的研究,从算法本身强化了其自身的安全性,增强了算法的抗干扰性。
技术方案:本发明是一种改进性的方案,攻击源追踪技术是在IP协议的基础上实现的,通过一定的算法,在IP数据包的头部添加转发数据包的节点的信息,来达到追踪的目的。
以下为本发明中对应的中英文术语:
  英文术语   中文术语
  DoS/DDoS   拒绝服务/分布式拒绝服务攻击
  Syn   TCP请求报文
  Fflag   高16或低16位地址标志
  Mflag   已标记标志
  hash   哈希函数
  TTL(time to live)   寿命
  ToS(type of service)   服务类型
  offset   片偏移
本发明的基于洪泛攻击的高效、安全追踪方案包括标记方法和路径重构方法,其中标记方法流程如下:
步骤1.接收到数据包的节点,首先检查已标记标志“Mflag”域的值,当已标记标志为0,表示该节点是第一个接收到该数据包的节点,则标记该数据包;
步骤2.根据寿命“TTL”值确定标记概率;
步骤3.当已标记标志“Mflag”为1时,先取一随机数p,并将其与该节点的标记概率比较,如果大于,则不标记,如果小于,则标记以该节点为边的起点的信息,并置“距离”域的值为0;
步骤4.如果依概率,不标记以该节点为起点的边的信息,则检查“距离”域,如果“距离”域的值等于0,则标记以该节点为边的终点的信息,并将“距离”域的值加1;
步骤5.如果依概率不标记以该节点为起点的边的信息,并且,“距离”域的值不等于0,则只是简单的将“距离”域的值加1;
其中,路径重构方法流程如下:
步骤6.将捕获的攻击数据包,依标记的“距离”域的值d,加入集合Ψd中,如果是重复标记的完全相同的数据包,则直接抛弃;
步骤7.取距离为0的攻击数据包集合Ψ0中的数据包,查找其中具有同样“边”和“边的终节点”域值的数据包,根据分段标志和“边起始节点”域的值,得到所有距离被攻击主机距离为0的节点即与被攻击主机直接相连的路由节点的IP地址集合S0
步骤8.在IP地址集合S0中依次选取距离被攻击主机的距离为0的节点的地址IP0,并根据该节点的哈希函数(hash)计算hash(IP0),在与被攻击主机距离为1的节点的IP地址集合S1中查找“边的终节点”域值与其相同的所有数据包,同样根据其“边起始节点”域的值,得出距离被攻击主机距离为1的节点的地址IP1,这样,IP1和IP0就构成攻击路径上一条以IP1为起点,IP0为终点的边,依次类推,得出所有的边,也就求出了追踪拓扑树。
在步骤2中的根据寿命“TTL”值,标记概率的确定方法流程如下:
2.1).第一个转发数据包的路由节点,将数据包的寿命值进行统一;
2.2).第i个转发节点在决定要标记其信息时,利用寿命值来确定其在攻击路径中的所在位置;
2.3).根据得到的所在位置的信息,确定标记概率。
在步骤3、步骤4、步骤5中,都需要对IP报文头的格式进行重载,具体如下:
3.1).“边起始节点”域占用了整个“标识”域,用于存放标记的边的起点的信息,
3.2).而“边的终节点”域也占用了整个“服务类型”域的空间,用于存放边的终点的信息,
3.3).“距离”域占用“片偏移”域的高5位的报文头空间,可以表示最大32跳的距离,
3.4).“边”域占用“片偏移”域的低8位,用于存放整个边的信息,
3.5).分段标志、已标记标志各占用“标志”域中的1位,用来表示该数据包是否已经被标记,以及标记在“边起始节点”域中的是IP地址的高16位还是低16位。
一、体系结构:
整个技术方案分为两个部分,一是在路由器上运行的标记算法,一是在被攻击主机上运行的攻击路径的重构算法。
在路由器上运行的标记算法主要考虑的问题有:1、标记概率的选取;这是确定在被攻击主机上运行的路径重构算法的关键所在。只有选择了最合适的标记概率,才能得到最好的路径重构性能。2、安全性能;有一个需要认真考虑的问题是,当攻击路径上一个转发数据包的节点被攻击者所控制,从而在包中标记伪造的节点信息时,标记方案能如何反应,来对抗这种干扰呢?。3、标记空间的确定;这是因为在IP报文头中,可供使用的空间极其有限,如何选取标记空间,也就是如何对IP报文头进行重载,是一个具有挑战性的问题。
在被攻击主机上运行的路径重构算法,是得到攻击路径的最终结果的最后一步。如何通过重构算法,将标记在IP头中的路径信息提取出来,并能快速、准确地进行路径重构,同样是非常重要的。
二、方法流程:
在整个系统中,每个标记节点独立地运行自己的标记算法,将一些路径重构所需的信息标记在IP报文头的相应域中。
在如图1所示的一条攻击路径中,Attacker表示攻击主机,Victim表示被攻击主机,A、B、C是在攻击路径上的三个节点,连接A、B之间的有向线代表由A节点为起始点、B节点为终点的一条边,用EAB表示,同样,EBC代表节点B、C之间的一条边。标记过程中要用到以下几个域:”边起始节点”域,用来存放边的起始点的节点信息;”边”域,用于存放边的起始节点标记的整条边的信息;”边起始节点”域,用于存放边的终节点标记的整条边的信息;”距离”域,用来存放该边距离被攻击主机的距离;Fflag(Fragment flag)域,用来表示写入IP报文头的”边起始节点”值是IP地址的低16位或是高16位。Mflag(Marked flag)域,用来表示该数据包是否已经被标记。以边EBC为例,以A、B、C表示A、B、C三个节点的IP地址,当一个数据包经过EBC时,具体的标记过程如下:
1、任何接收到数据包的节点,首先都会检查Mflag域的值。当Mflag域的值为0时,表示该数据包还未被任何节点标记。这时,接收到该数据包的节点必须标记该数据包,同时置Mflag域的值为1。当检查到Mflag域的值为1时,表明已经有节点标记了该数据包,则标记过程进入第二步。
2、B节点以概率p决定是否要把以B为起始点的边的信息标记入IP报文头。如果不准备标记该边,则检查”距离”域的值,如果”距离”≠0,则只是简单的对”距离”域的值作加1运算。如果”距离”=0,则计算hashB(B)并将其标记在”边起始节点”域。
3、B节点决定标记该边时,首先将自身IP地址的分成16位的两段,随机选择一段标记在IP报文头中的”边起始节点”域中。并设置Fflag标志,1表示是IP地址的高16位,0表示是IP地址的低16位。
4、分别计算hashB(B)、hashB(C),再计算hashB(B)hashB(C),(表示异或运算)异或运算的结果标记在”边”域中,并设置”距离”域的值为0。
5、C节点接收到数据包,首先依概率p决定是否要标记以它为起始点的边。如果要标记,则按上述的3、4操作;如果不标记,则B节点检查”距离”域的值,如果”距离”的值等于0,则将hashC(C)标记在”边起始节点”域中,并运算:”距离”=”距离”+1。
在被攻击主机上,以Ψd表示标记”距离”域为d边的集合。接收到数据包以后,首先将这些数据包中的边的信息按”距离”域的值跟Ψd中的元素比较,如果已经存在相同标记的边,则该边不用加入到Ψd中。
以G表示我们要构建的攻击路径的拓扑树,被攻击主机V为拓扑树的根节点,以Sd表示G中距离V的距离为d的节点,如图3所示。
1、首先,将Sd都初始化为0。取出Ψd(d≥1)中的一个数据包,查找具有同样”边”和”边起始节点”域值的数据包,根据Fflag域和”边起始节点”域的值,得到标记节点的IP地址,假设为X节点。再根据”边起始节点”域的值,在Ψd-1中查找与”边起始节点”域值相符的节点,假设为Y节点。对Ψ0中的边,则不需要检查”边起始节点”域中的值,直接取被攻击主机作为Y节点。
2、然后,验证这条边的标记信息是否真实。使用X节点的hash函数,计算hashX(X)、hashX(Y),再做异或运算e=hashX(X)hashX(Y),如果e等于”边”域的值,则可以确定,这条边的标记信息是正确的,将X节点加入Sd,Y加入Sd-1,并设置一个X的下一跳为Y的指针,表示这条边X----Y。同时,还可以确定边Ψd中”边起始节点”域下一跳节点Y的标记hashY(Y)是真实的。
3、依次类推,处理完所有的Ψd(0≤d≤max),我们可以构造出一个完整的攻击路径拓扑树G。
4、当遇到在攻击路径上的一个节点被攻击者所控制的情况时,在数据包中的标记信息会是伪造的边信息。如图1中所示,当B节点被攻击者所控制时,对边EBC,根据伪造的数据包中的”边起始节点”域得到的节点,通过验证是错误的,因为,我们用伪造信息得到的节点的hashB’函数并不是原来标记时所使用的hashB函数。做hashB’(A)hashB’(B)运算,与标记时采用的hashB函数的运算结果hashB(A)hashB(B)是不相等的。同时,对边EAB,也存在着边的验证错误问题。此时,使用如下的步骤来确定被攻击者控制的节点:
A、如果有一条边的信息验证是被伪造的,则直接通过数据包中”边起始节点”域的信息得到一个节点的IP,假设为Y,使用Y的hash函数计算hashY(Y),根据边中的”距离”值,假设为d,在Ψd+1中查找”边起始节点”域的值为hashY(Y)的边。如果能够查找到有”边起始节点”域的值等于hashY(Y)的边,那么就可以得出Y是真实标记的节点IP,反之,也可以得出Y是伪造的节点的IP。
B、如果Y是正确标记的,假设其下一跳真实的IP地址为X,则此时,使用”边”域的值,可以得出hashY(X),但要注意,由于hash函数的单向性,在被攻击主机上重构攻击路径时,并不能由hashY(X)直接得到X。但在Y节点上,根据hashY(X)通过测试还是能比较方便地得到X的。
C、如果得出的结论为Y是伪造的IP地址,此时,利用这条边信息中的“边起始节点”域的值,在Ψd-1中查找能与这条伪造边信息中“边起始节点”域值相等的节点。如果能够找到一个节点M,hashM(M)等于这条伪造边的“边起始节点”域的值,则可以确定这条伪造边的终点是M。虽然在被攻击主机上不能直接得到伪造节点的具体的地址,但在节点M上,还是可以检测出是哪一个节点被攻击者控制来伪造边信息的。
有益效果:本发明方法提出了一种新的IP追踪方案,主要用于在发生网络攻击事件时,能快速高效追踪到攻击源,从而从源头上抑制攻击的继续,以及为追究攻击者的责任提供证据等。使用该方案,有如下的一些优点:
1、极佳的收敛性能:以往的一些方案,每个转发数据包的路由器往往采用相同的概率来标记数据包。在这样一种情况下,往往得不到所需的收敛性能,使得重构攻击路径需要接收大量的数据包,不仅浪费了大量宝贵的时间,也增加了重构路径的难度。在本发明方法中,采用了一种新的标记概率选择方法,使得每个转发数据包的路由器以不同的概率来标记它所转发的数据包,从而得到理想的收敛性。
2、降低了攻击源的不确定性:同样,由于标记概率的正确选取,本发明方法降低了攻击源的不确定性。使得攻击源易于确定。
3、抗干扰性能提高:本发明中一个非常明显的优点就是抗攻击者伪造数据包及控制转发路由器伪造标记信息的能力显著提高。这在以往的方案中是没有过多考虑的。
附图说明
图1是攻击路径的示意图。其中有Attacker:攻击节点;A:第一转发节点;B:第二转发节点;C:第三转发节点;Victim:被攻击主机;F:(Fflag)高16位或低16位地址标志;M:(Mflag)已标记标志;D:可分段标志。
图2是IP报文头重载格式示意图。
图3是追踪拓扑树的示意图。其中有A1:第一攻击节点;A2:第二攻击节点;A3:第三攻击节点;第一路由节点至第八路由节点R1-----R8。
图4是路由节点上的标记算法流程图。
图5是被攻击主机上的路径重构算法流程图。
具体实施方式
一、标记概率的选取:
假设一条攻击路径的长度为d,该路径上的所有节点都以概率p对数据包进行标记,则要重构该路径所需的数据包的个数 N < 1 nd p ( 1 - p ) d - 1 . 从式中可以看出,在重构一个攻击路径时,所需的数据包的数量是非常多的。例如,当攻击路径的长度为20,我们选取标记概率为p=0.2,此时重构这条路径所需要包数量的上界超过了1000个。如果需要将标记信息分段标记在不同的包中,则所需数据包还会成倍增加。
定义λ为最终标记概率,节点i表示从攻击者开始的第i个转发攻击数据包的路由器节点。则节点i标记数据包到达被攻击主机的概率为:λi=p(1-p)d-i。从这个式子中可以看出,每个节点最终标记数据包的概率是不等的。从优化的角度来考虑,要使所需数据包的数量最少,则每个节点最终标记概率必须相等,并且有: &Sigma; i = 1 d &lambda; i = 1 . 也就是说对一个攻击路径上的d个节点,其每个节点的最终标记概率为1/d,此时所需的数据包的数量会达到最少。
如何能让各个节点上的最终标记概率为1/d呢?可以这样来选取标记概率:节点i以1/i的概率来决定是否标记数据包,让我们来看看该节点的最终标记概率λi是多少:
&lambda; i = p i &Pi; j = i + 1 d ( 1 - p j )
= 1 i &CenterDot; ( 1 - 1 i + 1 ) &CenterDot; ( 1 - 1 i + 2 ) &CenterDot; &CenterDot; &CenterDot; ( 1 - 1 d )
= 1 i &CenterDot; i i + 1 &CenterDot; i + 1 i + 2 &CenterDot; &CenterDot; &CenterDot; d - 1 d = 1 / d
所以,节点i选择可以选择以1/i的概率来标记数据包,而最终标记概率总是1/d。然而,一个节点并不能知道它在攻击路径中的位置的。也就是说它还不能确定i的值。但我们可以利用IP数据包的TTL值。一个IP数据包,它的TTL可能值为32、64、128、255,这取决于协议系统的实现。而在网络上一个数据包所经过的跳数最大不会超过32。因此,一个节点可以通过TTL值来确定这个数据包是经过多少个转发节点后到达该节点的。也就是能确定i。例如,一个节点收到数据包以后,检查TTL值,发现其值为51,那么它的初值(极大可能)是64,那么这个数据包已经经过了13个节点的转发,那么该节点是数据包经过的路径上的第14个节点,于是,它就可以依概率1/14来决定是否需要标记该数据包。
二、IP报文头的重载格式:
重载IP报文头如图2所示。“距离(distance)”域占用5位的报文头空间,可以表示最大32跳的IP地址,这在实际的Internet上已经足够。“边(edge)”域占用8位,F、M标志个占用1位。“边起始节点域(start node)”占用了整个“标识”域,而“边的终节点(end node)”域也占用了整个ToS域的空间。
三、转发路由节点上运行的标记算法:
在转发攻击数据包的路由节点上,采用的标记方法如下伪代码所示:
    for each packet P

           if(P->Mflag=0)      /*包未被标记过,必须标记*/

             packet_marking(P)
           else{

               if(P->ttl<=32‖P->ttl>64)

                 let P->ttl=64   /*将ttl值确定在32~64的范围内*/

               let r be a random number from[0,1]

               if(r<=1/(65-P->ttl))

                 packet_marking(P)

               else if(P->distance==0)

                     P->EndNode←{hashRi(Ri)}   /*标记验证信息*/

                     P->distance←P->distance+1

                    else P->distance←P->distance+1 /*不需要标记,只将distance+1*/

           packet_marking(P){

              P->Mflag=1                        /*设置数据包已经标记的标志*/

              let x be a random number from[0,1]

              if(x<=0.5){

                  P->StartNode←low 16 bytes IP address of Ri

                  P->Fflag=0                /*指示StartNode中是低16位IP地址*/

                 }else{

                  P->StartNode←high 16 bytes IP address of Ri

                 P->Flag=1            /*指示在StartNode域中是高16位IP地址*/

                 }

                  P->Edge←{hashRi(Ri)hashRi(Ri+1}    /*Ri+1是下一跳的IP*/

                  P->distance=0
四、被攻击主机上运行的路径重构算法:
在被攻击主机上进行路径重构时,首先取出已标记”距离”域值为0的攻击数据包,比较”边”、”边起始节点”域的值,如果有相符的数据包,则再根据Fflag域的值,提取出”边起始节点”域的值,获得直接跟V相邻的转发节点IP地址。根据R0i(因为会有多条路径存在,Rdi中的d表示是到V的距离,i表示是到V的距离为d的节点中的第i个)的IP地址,及其hash函数,计算hashR0i(ROi)。在接收到的数据包中检查”边起始节点”域看是否有跟hashR0i(R0i)相等的数据包,如有,则其”边起始节点”域是在攻击路径上R0i的前一跳所标记的。这样就可以逐步回溯直至攻击源。具体算法如下伪代码所示。在介绍具体算法前,先定义两个结构。
Sp为己标记的攻击数据包集合;称ΨRi={Rj|Rj中有攻击数据包发往Ri}为
Ri的子孙,Ri为ΨRi的父节点。例如在图3中,ΨR5={R1,R2}。
        let Sd be empty
if ( P &NotElement; S d )
               insert P to Sd
           for first P to last P in Sd
            get Ri through P.StartNode and get Rj through P.EndNode
              insert Ri to ΨRi
           output Ψ
具体方案包括标记方法和路径重构方法,
其中标记方法流程如下:
步骤1.接收到数据包的节点,首先检查已标记标志“Mflag”域的值,当已标记标志为Q,表示该节点是第一个接收到该数据包的节点,则标记该数据包;
步骤2.根据寿命“TTL”值确定标记概率;
步骤3.当已标记标志“Mflag”为1时,先取一随机数p,并将其与该节点的标记概率比较,如果大于,则不标记,如果小于,则标记以该节点为边的起点的信息,并置“距离”域的值为0;
步骤4.如果依概率,不标记以该节点为起点的边的信息,则检查“距离”域,如果“距离”域的值等于0,则标记以该节点为边的终点的信息,并将“距离”域的值加1;
步骤5.如果依概率不标记以该节点为起点的边的信息,并且,“距离”域的值不等于0,则只是简单的将“距离”域的值加1;
其中,路径重构方法流程如下:
步骤6.将捕获的攻击数据包,依标记的“距离”域的值d,加入集合Ψd中,如果是重复标记的完全相同的数据包,则直接抛弃;
步骤7.取距离为0的攻击数据包集合Ψ0中的数据包,查找其中具有同样“边”和“边的终节点”域值的数据包,根据分段标志和“边起始节点”域的值,得到所有距离被攻击主机距离为0的节点即与被攻击主机直接相连的路由节点的IP地址集合S0
步骤8.在IP地址集合S0中依次选取距离被攻击主机的距离为0的节点的地址IP0,并根据该节点的哈希函数(hash)计算hash(IP0),在与被攻击主机距离为1的节点的IP地址集合S1中查找“边的终节点”域值与其相同的所有数据包,同样根据其“边起始节点”域的值,得出距离被攻击主机距离为1的节点的地址IP1,这样,IP1和IP0就构成攻击路径上一条以IP1为起点,IP0为终点的边,依次类推,得出所有的边,也就求出了追踪拓扑树。
在步骤2中的根据寿命“TTL”值,标记概率的确定方法流程如下:
2.1).第一个转发数据包的路由节点,将数据包的寿命值进行统一;
2.2).第i个转发节点在决定要标记其信息时,利用寿命值来确定其在攻击路径中的所在位置;
2.3).根据得到的所在位置的信息,确定标记概率。
在步骤3、步骤4、步骤5中,都需要对IP报文头的格式进行重载,具体如下:
3.1).“边起始节点”域占用了整个“标识”域,用于存放标记的边的起点的信息,
3.2).而“边的终节点”域也占用了整个“服务类型”域的空间,用于存放边的终点的信息,
3.3).“距离”域占用“片偏移”域的高5位的报文头空间,可以表示最大32跳的距离,
3.4).“边”域占用“片偏移”域的低8位,用于存放整个边的信息,
3.5).分段标志、已标记标志各占用“标志”域中的1位,用来表示该数据包是否已经被标记,以及标记在“边起始节点”域中的是IP地址的高16位还是低16位。

Claims (3)

1.一种基于洪泛攻击的高效、安全追踪方案,其特征在于该方案包括标记方法和路径重构方法,其中标记方法流程如下:
步骤1.接收到数据包的节点,首先检查已标记标志“Mflag”域的值,当已标记标志为0,表示该节点是第一个接收到该数据包的节点,则标记该数据包;
步骤2.根据寿命“TTL”值确定标记概率;
步骤3.当已标记标志“Mflag”为1时,先取一随机数p,并将其与该节点的标记概率比较,如果大于,则不标记,如果小于,则标记以该节点为边的起点的信息,并置“距离”域的值为0;
步骤4.如果依概率,不标记以该节点为起点的边的信息,则检查“距离”域,如果“距离”域的值等于0,则标记以该节点为边的终点的信息,并将“距离”域的值加1;
步骤5.如果依概率不标记以该节点为起点的边的信息,并且,“距离”域的值不等于0,则只是简单的将“距离”域的值加1;
路径重构方法流程如下:
步骤6.将捕获的攻击数据包,依标记的“距离”域的值d,加入集合ψd中,如果是重复标记的完全相同的数据包,则直接抛弃;
步骤7.取距离为0的攻击数据包集合ψ0中的数据包,查找其中具有同样“边”和“边的终节点”域值的数据包,根据分段标志和“边起始节点”域的值,得到所有距离被攻击主机距离为0的节点即与被攻击主机直接相连的路由节点的IP地址集合S0
步骤8.在IP地址集合S0中依次选取距离被攻击主机的距离为0的节点的地址IP0,并根据该节点的哈希函数“hash”计算hash“IP0”,在与被攻击主机距离为1的节点的IP地址集合S1中查找“边的终节点”域值与其相同的所有数据包,同样根据其“边起始节点”域的值,得出距离被攻击主机距离为1的节点的地址IP1,这样,IP1和IP0就构成攻击路径上一条以IP1为起点,IP0为终点的边,依次类推,得出所有的边,也就求出了追踪拓扑树。
2.根据权利要求1所述的一种基于洪泛攻击的高效、安全追踪方案,其特征在于在步骤2中的根据寿命“TTL”值,标记概率的确定方法流程如下:
2.1).第一个转发数据包的路由节点,将数据包的寿命值进行统一;
2.2).第i个转发节点在决定要标记其信息时,利用寿命值来确定其在攻击路径中的所在位置;
2.3).根据得到的所在位置的信息,确定标记概率。
3.根据权利要求1所述的一种基于洪泛攻击的高效、安全追踪方案,其特征在于在步骤3、步骤4、步骤5中,都需要对IP报文头的格式进行重载,具体如下:
3.1).“边起始节点”域占用了整个“标识”域,用于存放标记的边的起点的信息,
3.2).而“边的终节点”域也占用了整个“服务类型”域的空间,用于存放边的终点的信息,
3.3).“距离”域占用“片偏移”域的高5位的报文头空间,可以表示最大32跳的距离,
3.4).“边”域占用“片偏移”域的低8位,用于存放整个边的信息,
3.5).分段标志、已标记标志各占用“标志”域中的1位,用来表示该数据包是否已经被标记,以及标记在“边起始节点”域中的是IP地址的高16位还是低16位。
CNA2005101228482A 2005-12-06 2005-12-06 一种基于洪泛攻击的高效、安全追踪方案 Pending CN1777182A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2005101228482A CN1777182A (zh) 2005-12-06 2005-12-06 一种基于洪泛攻击的高效、安全追踪方案

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2005101228482A CN1777182A (zh) 2005-12-06 2005-12-06 一种基于洪泛攻击的高效、安全追踪方案

Publications (1)

Publication Number Publication Date
CN1777182A true CN1777182A (zh) 2006-05-24

Family

ID=36766481

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2005101228482A Pending CN1777182A (zh) 2005-12-06 2005-12-06 一种基于洪泛攻击的高效、安全追踪方案

Country Status (1)

Country Link
CN (1) CN1777182A (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009135396A1 (zh) * 2008-05-09 2009-11-12 成都市华为赛门铁克科技有限公司 网络攻击处理方法、处理装置及网络分析监控中心
CN101873258A (zh) * 2010-06-07 2010-10-27 清华大学 一种概率包标记及攻击源追溯方法、系统及装置
CN101447916B (zh) * 2008-12-25 2010-12-01 中国电子科技集团公司第五十四研究所 多协议标记交换网络的双向复合信源定位方法
CN101631078B (zh) * 2009-08-24 2012-04-18 杭州华三通信技术有限公司 一种端点准入防御中的报文控制方法及接入设备
CN102801727A (zh) * 2012-08-13 2012-11-28 常州大学 一种基于自治域系统的DDoS攻击追踪方法
CN102882881A (zh) * 2012-10-10 2013-01-16 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
CN103249177A (zh) * 2012-08-13 2013-08-14 常州大学 一种无线传感器网络中DDoS攻击的追踪方法
CN103354539A (zh) * 2012-11-29 2013-10-16 北京安天电子设备有限公司 一种基于IPv6网络特征的攻击路径还原方法及系统
CN103428032A (zh) * 2013-08-19 2013-12-04 杭州华三通信技术有限公司 一种攻击定位、辅助定位装置和方法
CN103458478A (zh) * 2013-09-03 2013-12-18 清华大学 基于动态伪造源的源隐匿方法及系统
CN104202785A (zh) * 2014-08-05 2014-12-10 浙江大学 一种无线传感网中数据包路径重构方法
US9088607B2 (en) 2009-12-28 2015-07-21 Huawei Digital Technologies (Cheng Du) Co., Limited Method, device, and system for network attack protection
CN104811933A (zh) * 2015-05-22 2015-07-29 大连海事大学 一种无线传感器网络中增强源节点安全性的方法
CN105681276A (zh) * 2015-12-25 2016-06-15 亿阳安全技术有限公司 一种敏感信息泄露主动监控与责任认定方法与装置
CN107026867A (zh) * 2017-06-28 2017-08-08 西安电子科技大学 基于父节点可控路由算法定位DoS攻击源的方法
CN108540383A (zh) * 2018-03-20 2018-09-14 大连理工大学 一种基于软件定义网络的数据包传输轨迹检测方法
CN110505237A (zh) * 2019-09-03 2019-11-26 中国联合网络通信集团有限公司 一种反欺诈方法及系统

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009135396A1 (zh) * 2008-05-09 2009-11-12 成都市华为赛门铁克科技有限公司 网络攻击处理方法、处理装置及网络分析监控中心
CN101282340B (zh) * 2008-05-09 2010-09-22 成都市华为赛门铁克科技有限公司 网络攻击处理方法及处理装置
CN101447916B (zh) * 2008-12-25 2010-12-01 中国电子科技集团公司第五十四研究所 多协议标记交换网络的双向复合信源定位方法
CN101631078B (zh) * 2009-08-24 2012-04-18 杭州华三通信技术有限公司 一种端点准入防御中的报文控制方法及接入设备
US9088607B2 (en) 2009-12-28 2015-07-21 Huawei Digital Technologies (Cheng Du) Co., Limited Method, device, and system for network attack protection
CN101873258A (zh) * 2010-06-07 2010-10-27 清华大学 一种概率包标记及攻击源追溯方法、系统及装置
CN102801727A (zh) * 2012-08-13 2012-11-28 常州大学 一种基于自治域系统的DDoS攻击追踪方法
CN103249177A (zh) * 2012-08-13 2013-08-14 常州大学 一种无线传感器网络中DDoS攻击的追踪方法
CN102882881B (zh) * 2012-10-10 2015-06-24 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
CN102882881A (zh) * 2012-10-10 2013-01-16 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
CN103354539A (zh) * 2012-11-29 2013-10-16 北京安天电子设备有限公司 一种基于IPv6网络特征的攻击路径还原方法及系统
CN103354539B (zh) * 2012-11-29 2016-05-11 北京安天电子设备有限公司 一种基于IPv6网络特征的攻击路径还原方法及系统
CN103428032A (zh) * 2013-08-19 2013-12-04 杭州华三通信技术有限公司 一种攻击定位、辅助定位装置和方法
CN103428032B (zh) * 2013-08-19 2016-11-09 杭州华三通信技术有限公司 一种攻击定位、辅助定位装置和方法
CN103458478A (zh) * 2013-09-03 2013-12-18 清华大学 基于动态伪造源的源隐匿方法及系统
CN103458478B (zh) * 2013-09-03 2016-03-23 清华大学 基于动态伪造源的源隐匿方法及系统
CN104202785B (zh) * 2014-08-05 2018-02-27 浙江大学 一种无线传感网中数据包路径重构方法
CN104202785A (zh) * 2014-08-05 2014-12-10 浙江大学 一种无线传感网中数据包路径重构方法
CN104811933A (zh) * 2015-05-22 2015-07-29 大连海事大学 一种无线传感器网络中增强源节点安全性的方法
CN104811933B (zh) * 2015-05-22 2019-01-15 大连海事大学 一种无线传感器网络中增强源节点安全性的方法
CN105681276A (zh) * 2015-12-25 2016-06-15 亿阳安全技术有限公司 一种敏感信息泄露主动监控与责任认定方法与装置
CN105681276B (zh) * 2015-12-25 2019-07-05 亿阳安全技术有限公司 一种敏感信息泄露主动监控与责任认定方法与装置
CN107026867A (zh) * 2017-06-28 2017-08-08 西安电子科技大学 基于父节点可控路由算法定位DoS攻击源的方法
CN108540383A (zh) * 2018-03-20 2018-09-14 大连理工大学 一种基于软件定义网络的数据包传输轨迹检测方法
CN110505237A (zh) * 2019-09-03 2019-11-26 中国联合网络通信集团有限公司 一种反欺诈方法及系统
CN110505237B (zh) * 2019-09-03 2021-08-13 中国联合网络通信集团有限公司 一种反欺诈方法及系统

Similar Documents

Publication Publication Date Title
CN1777182A (zh) 一种基于洪泛攻击的高效、安全追踪方案
Yang et al. RIHT: a novel hybrid IP traceback scheme
Gao et al. Tracing cyber attacks from the practical perspective
JP2020530638A (ja) マルウェアホストネットフロー分析システム及び方法
CN112910851B (zh) 基于知识图谱的数据包标记溯源装置
CN101518017A (zh) 用于因特网协议(ip)追踪的基于自治系统的边缘标记(asem)
CN106060015B (zh) 一种基于sdn的ip源地址验证方法
CN1921487A (zh) 基于签名的自治系统间IPv6真实源地址验证方法
CN104135385A (zh) Tor匿名通信流量应用分类的方法
CN102281295A (zh) 一种缓解分布式拒绝服务攻击的方法
Jin et al. Deterministic packet marking based on redundant decomposition for IP traceback
CN102801727A (zh) 一种基于自治域系统的DDoS攻击追踪方法
CN103354539A (zh) 一种基于IPv6网络特征的攻击路径还原方法及系统
Wang et al. Topology-assisted deterministic packet marking for IP traceback
CN1815997A (zh) 一种用于因特网的基于规则集合划分的分组分类的方法
Aghaei-Foroushani et al. On evaluating ip traceback schemes: a practical perspective
Murugesan et al. A brief survey of IP traceback methodologies
Chen et al. Nisp1-05: Rim: Router interface marking for ip traceback
CN105682098B (zh) 一种无线传感器网络中基于信任的概率标记溯源追踪方法
CN105763455A (zh) 一种基于6LoWPAN邻居发现的节点安全注册方法
Rajam et al. A novel traceback algorithm for DDoS attack with marking scheme for online system
Aktar et al. Hash based AS traceback against DoS attack
Subash et al. An enhanced hybrid scheme for IP Traceback
Qu et al. A novel deterministic packet marking scheme for IP traceback
Gong et al. A trusted Ad Hoc routing protocol based on fuzzy mathematics

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication