基于IP地址重拼接的DDOS攻擊源追蹤算法

2012-04-29 00:44:03趙杰

計(jì)算機(jī)時(shí)代 2012年5期

趙杰

摘要：為了提高對分布式拒絕服務(wù)(DDoS)攻擊源反向追蹤的效率和準(zhǔn)確度，提出了一個(gè)新算法。此算法不同于AMS(Advanced Marking Schemes)算法，是利用IP地址拼接技術(shù)，重定義IP數(shù)據(jù)包頭部分字段，利用一種新的路由器地址編碼格式，使得一個(gè)數(shù)據(jù)包攜帶更多路由地址信息，提高重構(gòu)路徑的效率，大幅降低誤報(bào)率。相對于AMS算法,新算法明顯提高了IP反向追蹤的性能，降低了誤報(bào)率。

關(guān)鍵詞： DDOS攻擊；地址拼接；追蹤算法； IP數(shù)據(jù)包

中圖分類號：TP393.08文獻(xiàn)標(biāo)志碼：A文章編號：1006-8228(2012)05-35-02

DDOS attack source tracing algorithm based on the IP address re-stitching

Zhao Jie

（Department of Information Technology and Management , Zhejiang Police Vocational Academy, Hangzhou, Zhejiang 310018, China）

Abstract： To improve the distributed denial of service (DDoS) attack source traceback efficiency and accuracy, proposed a new algorithm that compared to AMS (Advanced Marking Schemes) algorithm, using the IP address of stitching techniques, re-define the IP data header part of the field, using a new router address coding format, making the route a packet to carry more address information to improve the efficiency of reconstruction of the path, dramatically reducing the false alarm rate. Relative to the AMS algorithm, the new algorithm significantly improves the performance of IP traceback, reduce false alarm rate.

Key words： DDOS； address stitching； tracking algorithm； IP packets

0 引言

當(dāng)前各類網(wǎng)絡(luò)安全威脅中，拒絕服務(wù)攻擊（DOS）和分布式拒絕服務(wù)攻擊（DDOS）因其危害大、難以徹底防范、攻擊來源難確定等成為網(wǎng)絡(luò)攻擊者最常采用的方法。為了隱藏其真實(shí)來源，它們利用偽裝IP地址進(jìn)行攻擊，這是IP反向追蹤困難的主要原因。但是，盡管IP數(shù)據(jù)包頭地址是偽造的，然而數(shù)據(jù)包從源頭到目的地所經(jīng)過的路由器等網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備還是會(huì)記錄下攻擊路徑，利用這點(diǎn)我們可以重構(gòu)攻擊路徑找到攻擊源[1]。

1 數(shù)據(jù)包標(biāo)記追蹤算法

1.1 基本數(shù)據(jù)包標(biāo)記算法[2]

Burch等提出，將路由信息全部插入數(shù)據(jù)包中，當(dāng)受害者收到這些數(shù)據(jù)包時(shí)，從中即可獲得相關(guān)路徑信息，便可重構(gòu)出攻擊路徑。但向數(shù)據(jù)包中插入過多的路由信息，會(huì)導(dǎo)致數(shù)據(jù)包長度超過路徑的最大傳輸單元，造成數(shù)據(jù)包不必要的分段。

1.2 高級數(shù)據(jù)包標(biāo)記（AMS）算法

AMS的主要思想是，將IP數(shù)據(jù)包頭中標(biāo)記域分為：distance域、flagID域和edge域，每個(gè)路由器以固定概率p決定是否標(biāo)記數(shù)據(jù)包，把兩個(gè)路由器地址信息“異或”后的Hash值插入數(shù)據(jù)包頭標(biāo)識域來減少存儲空間。在重構(gòu)路徑中，AMS算法利用了“異或”的數(shù)學(xué)特性即a