拒绝服务攻击下的IP追踪技术研究
暨南大学硕士学位
论文
政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载
拒绝服务攻击下的 I P 追踪技术研究
摘 要
随着计算机网络技术的发展, 人们的工作和生活越来越离不开网络, 但网络
在带给人们便利的同时, 人们也要面对大量的网络安全问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
。 拒绝服务攻击是造
成 网 络 安 全 问 题 的 主 要 攻 击 之 一 。 研 究 人 员 提 出 了 很 多 防 范 拒 绝 服 务 攻 击 的 措
施, 其中一种就是对攻击源的追踪。 拒绝服务攻击之所以是影响因特网安全最严
重的威胁之一, 主要是由于其难以追踪的特点 。 而对攻击数据来源的追踪不仅可
以作为追踪真正幕后攻击者的基础, 为追究攻击者责任提供法律证据 , 还可以为
拒绝服务攻击的防范提供信息,达到更好的防御效果。
本文的研究工作主要包括如下几方面:
(1)分析了 G O N G 等人提出的分组标记以及日志记录的混合追踪方法 , 指
出其中重构路径慢、 误报率高以及不能定位攻击源等缺点。 针对这些缺点 , 提出
了一个新的改进方案。 新方案利用路由器接口信息作为标记 , 有效地减少了重构
路径时访问路由器的次数, 提高了路径重构速度 , 而且由于减少了日志记录的路
由器,降低了误报率以及能准确追踪到攻击源,并能更好地适应渐进部署。
( 2 ) 分 析 了 现 有 的 两 个 概 率 包 标 记 算 法 , 指 出 其 中 重 构 路 径 数 据 包 数 量 多
以及不能识别伪造信息等不足,并提出了一种基于 H M A C 的概率包标记算法。
该算法利用 H M A C 值作为标记信息的一部分,有效地减少了重构路径的数据包
数量, 为受害者提供了辨别攻击者写入的虚假信息的功能, 而且也减少了重构路
径中对不同偏移值分片的重组次数。
(3)最后用 N S 2 作为仿真平台验证了新的混合式追踪方案。实验结果表明
新方案的性能优于 G O N G 等人的方案。
关键词: 拒绝服务攻击;I P 追踪;分组标记;概率包标记;日志记录
I暨南大学硕士学位论文 拒绝服务攻击下的 I P 追踪技术研究
A A A A b b b b s s s s t t t t r r r r a a a a c c c c t t t t
W i t h t he de ve l opm e nt of ne t w or k t e c hnol ogy , pe opl
e ’ s w or k a nd l i f e ha s be c om e
i ne x t r i c a bl y t i e d t o t he i nt e r ne t .T hough t he ne t w or k ha s br ought pe opl e l ot s of
c onve ni e nc e , pe opl e ha ve t o f a c e t o m or e a nd m or e ne t w or k s e c ur i t y pr obl e m s .D e ni a l
of S e r vi c e a t t a c k i s one of m os t c om m on a t t a c ks .R e s e a r c he r s pr e s e nt e d a l ot of
m e a s ur e s t o de f e nc e t hi s a t t a c k i nc l udi ng t r a c i ng t he s our c e s of a t t a c k.B e c a us e i t i s
di f f i c ul t t o l oc a t e t he s our c e s of a t t a c k,D e ni a l of S e r vi c e i s one of t he m a j or t hr e a t s t o
t he s e c ur i t y of t he I nt e r ne tT he t r a c i ng of a t t a c ki ng da t a s our c e c a n be not onl y us e d
a s f ounda t i on t o t r a c k t he r e a l a t t a c ke r be hi nd t he s c e ne s , pr ovi di ng e vi de nc e t o c a l l
t o a c c ount , but a l s o pr ovi de i nf or m a t i on t o D e ni a l of S e r vi c e a t t a c k, a c hi e v e be t t e r
de f e ns e e f f e c tT he c ont r i but i ons of t he pa pe r a r e out l i ne d a s f ol l ow s :
F i r s t l y , G O N G ’ s hy b r i d I P t r a c e ba c k s c he m e w hi c h m a ke us e of pa c ke t m a r ki ng
a nd l og gi ng i s a na l y s e d. T he di s a dva nt a ge s of l
ow s pe e d i n r e c ons t r uc t i ng pa t h a nd
hi g h f a l s e pos i t i ve a r e poi nt e d out .M or e ove r i t c a n not l oc a t e t he a t t a c k s our c e .S o a n
i m pr ove d s c he m e i s pr opos e d i n or de r t o ove r c om e t he di s a dva nt a ge sT he pr opos e d
s c he m e e m pl oy s t he i nf or m a t i on of r out e r i nt e r f a c e t o m a r k a r out e r s o a s t o r e duc e
t he num be r of que r i e d r out e r s i n r e c ons t r uc t i ng t he pa t h. I n t he pr opos e d s c he m e , t he
s pe e d of r e c ons t r uc t i ng pa t h i s e nha nc e d a nd t he f a l s e pos i t i ve i s l ow e r e d s i nc e t he
num be r of l og gi ng r out e r s i s r e duc e d.M or e ove r , t he ne w s c he m e c a n l oa c t e t he
a t t a c ke r a nd doe s not r e qui r e a l l r out e r s t o be t r a c e ba c k- e na bl e d.
S e c ondl y , t he pa pe r a na l y s e s t w o e x i s t i ng P r oba bi l i s t i c P a c ke t M a r ki ng
s c he m e s .B e c a us e t he y ne e d a l a r g e num be r of pa c ke t s t o r e c ons t r uc t t he a t t a c k pa t h
a nd l a c k of a nt i - f or g e r y f e a t ur e .A ne w P r oba bi l i s t i c P a c ke t M a r ki ng ba s e d on H M A C
i s pr e s e nt e d.T he ne w s c he m e us e t he H M A C of I P a
ddr e s s a s t he m a r k i nf or m a t i on.I n
t he ne w s c he m e ,t he num be r of pa c ke t s t o r e c ons t r uc t pa t h i s r e duc e d,vi c t i m c a n
di s t i ng ui s h f a l s e i nf or m a t i on,a nd t he num be r of c om bi na t i ons of di f f e r e nt f r a gm e nt s
i s a l s o r e duc e d.
F i na l l y , a c c or di ng t o t he s i m ul a t i on r e s ul t f r om N S 2,t he ne w hy b r i d s c he m e i n t he
I I暨南大学硕士学位论文 拒绝服务攻击下的 I P 追踪技术研究
c ha pt e r t hr e e i s be t t e r t ha n t he or i gi na l oneK r y w or d s :
K K K r r r y y y w w w or or or d d d s s s : : : D e ni a l of S e r vi c e ; I P t r a c e ba c k; pa c ke t m a r ki ng; pr oba bi l i s t i c pa c ke t
m a r ki ng; l og gi ng;
I I I暨南大学硕士学位论文 目录
目 录
摘 要 I
A A b b s s t t r r a a c c t t
A A b b s s t t r r a a c c t tI I
目 录 I V
1 绪 论. 1
11 研 究背 景1
12 研 究目 的及 意义1
13 国 内外 研究 现状2
14 本 文所 做工 作及 章节 安排 4
2 拒 绝服 务攻 击的 防范6
21 什 么是 拒绝 服务 攻击6
22 应 对拒 绝服 务攻 击的 对策. 6
23 本 章小 结1 0
3 一 种基 于路 由器 接口 的混 合 I P 追 踪方 案1 1 31 G O N G 的 混合 式追 踪方 案分 析1 1 32 一 种基 于路 由器 接口 的混 合 I P 追 踪方 案1 5 33 本 章小 结2 7
4 一 种基 于 H M A C 的 概率 包标 记算 法2 8 41 概 率包 标记 算法 分析. 2 8
42 基 于中 国余 数定 理的 概率 包标 记算 法分 析. 3 5 43 一 种基 于 H M A C 的 概率 包标 记算 法4 0 44 本 章小 结5 0
5 混 合 I P 追 踪方 案仿 真 5 1
51 仿 真环 境5 1
52 仿 真步 骤5 2
53 网 络拓 扑结 构. 5 5
54 实 验结 果及 分析5 5
55 本 章小 结5 6
6 总 结与 展望 5 7
参 考文 献. 5 8
附 录 攻 读硕 士学 位期 间发 表的 论文6 2
致 谢 6 3
I V暨南大学硕士学位论文 1 绪论
1 绪论
11 研究背景
当今,随着计算机以及通信技术的发展,计算机网络技术得到广泛的应用,
人们无论是生活还是工作上都越来越离不开计算机网络。 近年来 , 因特网更得到
了长足的发展, 电子商务、 电子政务如火如荼地发展起来。 计算机网络已经彻底
进入到人们的生活、 工作当中 , 同时也渗透到社会的各个领域。 当网络在为人们
提供便利、带来效益的同时,也使人们面临着信息安全方面的巨大挑战。
美 国 F B I 统 计 指 出 : 全 球 平 均 每 20 秒 就 会 有 一 起 因 特 网 计 算 机 系 统 被 入 侵
事件,每年由于计算机网络安全系统被破坏所造成的经济损失高达数百亿美元。
进入 21 世纪,上述损失超过了二千亿美元。网络的安全问题严重地影响了网络
的发展,阻碍了人们对网络的正常使用,并且威胁着国家和社会安全。
因此, 网络与信息安全方面的研究是当前信息行业的研究重点。 国际上的信
息安全研究已成体系, 20 世纪 70 年代就已经开始标准化。 当前有多个国际组织
致力于网络与信息安全方面的研究。 随着信息社会对网络依赖性的不断增加以 及
91 1 等突发事件的出现, 以美国为首的各个国家在网络与信息安全方面都在加速
研究。我国自 2003 年以来也在网络与信息安全方面有了较大的进展。
在众多的网络攻击中,拒绝服务( D e ni a l of S e r vi e ,D oS )攻击是造成网络
安 全 问 题 的 主 要 攻 击 之 一 。 2009 年 中 国 网 络 安 全 报 告 指 出 , 针 对 境 内 互 联 网 基
础运行设施的主要攻击是拒绝服务攻击。 据 2009 年 10 月份辽宁 、 河北等地运营
商的通报, 拒绝服务攻击中一般流量攻击次数占 86% , 较大流量攻击次数占 12% ,
大流量攻击次数约为 2% ,上述攻击目标往往指向 I D C (I nt e r ne t D
a t a C e nt e r ) 的
服 务 器 , 其 中 较 大 或 较 大 以 上 流 量 攻 击 通 常 会 对 I D C 业 务 以 及 其 承 载 互 联 网 增
值业务信息系统造成影响。 防范拒绝服务攻击特别是分布式拒绝服务 (D i s t r i but e d
D e ni a l of S e r vi c e ,D D oS )攻击是互联网企业安全运营需要解决的一个难题。
12 研究目的及意义
根据近年来已公布的网络攻击事件的分析,以拒绝服务攻击的危害最大, 最
1暨南大学硕士学位论文 1 绪论
难防御。 拒绝服务攻击是人们恶意地对网络进行干扰 , 使得服务受到一定的影响,
严 重 的 可 以 造 成 巨 大 的 经 济 损 失 。 2004 年 , D D oS 攻 击 使 D oubl e C l i c k I nc 公 司
的广告服务系统陷入瘫痪 。 Y a hoo、 e B a y 、 A m a z on.c om 、 E T r a de 、 Z D ne t 、 B uyc om 、
F B I 和其它一些网站都遭受过 D D oS 攻击。 2009 年, 韩国总统府、 国防部、 外交
通 商 等 政 府 部 门 和 主 要 银 行 、 媒 体 网 站 同 时 遭 到 D D oS 攻 击 , 瘫 痪 时 间 长 达 4
小时。 这些年来, D D oS 攻击的频率和方式都呈上升的趋势, 并且出现了攻击强
度更大的高分布式拒绝服务攻击和反射式拒绝服务攻击。 目前 D D oS 攻击将大幅
度增加,这将使因特网因为成百上千的 D D oS 攻击而减慢速度。
针对拒绝服务攻击, 研究人员已经提出了众多防御措施 。 其中之一就是利用
I P 追 踪 技 术 追 踪 到 发 起 攻 击 的 攻 击 源 。 拒 绝 服 务 攻 击 之 所 以 成 为 影 响 因 特 网 安
全 最 严 重 的 威 胁 之 一 , 很 大 程 度 上 是 由 于 拒 绝 服 务 攻 击 难 以 追 踪 的 特 点 。 而 对
D D oS 攻击数据来源的追踪不仅可以作为追踪真正的幕后攻击者的基础, 为追究
攻击者责任提供法律证据, 还可以为 D D oS 攻击的防范提供信息, 达到更好的防
御效果,因此,对 D oS 攻击追踪的研究是防范 D D oS 攻击的重要内容之一。
拒绝服务攻击的追踪对于全方位地防范攻击是非常重要的。其作用主要有:
(1) 追究攻击者的相关责任, 能够威慑潜在的攻击者, 从而减少此类攻击
事件的发生。
(2) 找到攻击者控制的傀儡机, 及时通知傀儡机管理员, 从而有助于提高
傀儡机所在的网络安全性。
(3) 作为辅助手段, 在离攻击者最近的位置可以实施分流和过滤等其他的
防御手段, 达到更好的防御效果, 同时, 使得攻击路径上的若干路由
[ 1 ]
器不再需要继续转发攻击包,减少网络带宽的浪费 。
13 国内外研究现状
I P 追踪又称I P 回溯( I P T r a c e ba c k ) ,即通过各种方法确定攻击数据流的路径
从而确定攻击源的过程。 目前国内外主要的研究热点是 , 数据包标记和日志记录
两种技术。数据包标记技术的策略有很多,有基于概率统计的节点采样策略、 边
采样策略等方案。日志记录技术主要有基于散列摘要的I P 追踪算法。
[ 2 ]
数据包标记技术方面,在2001年,S a va ge 等人 首先提出了概率包标记
2暨南大学硕士学位论文 1 绪论
P r oba bi l i s t i c a l l y P a c ke t M a r ki ng , P P M 的思想, 然后设计了分段标记 (F r a gm e nt
M a r ki ng S c he m e ,F M S )算法。研究人员针对它的缺点提出了不少的改进方案。
[ 3 ]
在2002年, S ong等人 为了减少重构路径的时间, 提出了高级包标记法 A dva nc e d
P r oba bi l i s t i c P a c ke t M a r ki ng 和带认证的包标记方法 A ut he nt i e a t e d P r oba bi l i s t i c
P a c ke t M a r ki ng 。 这两种方法与概率包标记一样, 都是用数据包包头中的 I D 域存
放标记信息,与概率包标记不同的是它们都需要在追踪前知道网络的拓扑数
据。
[ 4 ]
P e ng等人 从标记概率方面对包标记算法进行了改进, 它不是使用固定的概率来
决定对数据包标记, 而是采用自适应的概率来对数据包标记 , 令受害者获得远距
[ 5 ]
离路由器标记的概率增加。 在国内 , 曲海鹏等 提出了基于有序标记的追踪方案 ,
它通过存储每个目标I P 地址的标记状态, 对包标记的分片进行有序发送。 朱晓建
[ 6 ] [ 7 ]
等 提出了非重复包标记方法,减少了路由器的标记工作量。陈彦等 利用双钥
序列的消息认证码理论, 提出了一种改进的基于认证的源追踪方案, 降低了攻击
[ 8 ]
者伪造数据包的余地。 2009年, 徐劲松 提出利用中国余数的唯一性来标记I P 分
块的特征,对识别同一距离,但不同路径上的路由器信息提供了相当大的帮助。
[ 9 ]
高大鹏等 通过将分段标记算法与自适应标记概率算法有机结合, 增加边信息存
储所需要的空间, 降低了重构过程中的计算复杂度 。 文献[ 10] 更是提出了针对的
[ 1 1 ]
不同的网络环境来使用不同的标记长度。 2010年, S a t t a r i 等人 利用网络编码的
方式记录路由器信息,在该方法中,1个数据包记录的不只是1个路由器的信息,
而是3个路由器信息,在一定程度上降低了重构路径的数据包数量。
[ 1 2 ]
日志记录方面,在1999年,C ha ng等人 最早提出了日志记录的方法,但由
[ 1 3 ]
于它要存储的日志非常大,路由器根本无法存储相关的日志。S noe r e n等人 为
了缩短日志的长度,利用B l oom f i l t e r 数据结构存储存储报文摘要,提出了源路径
[ 1 4 ]
隔离引擎(S our c e P a t h I s ol a t i on E ngi ne ,S P I E )。L e e 等人 提出将流的审计信息
记录在日志中, 而不记录包的审计信息, 从而减少日志记录所需的存储空间。 2008
[ 1 5 ]
年, G O N G 等人 提出将日志记录和包标记交替使用, 使得既保留了日志记录技
术中利用单个数据包追踪的优点, 又减少需要存储的日志数量 , 该方法分别吸取
[ 1 6 ]
了数据包方法和日志记录方法的优点。2009年,薛开平等人 提出了一种基于
B l oom f i l t e r 存储的概率采样日志记录方法, 该方法对经过路由器的所有数据都实
现概率采样,令到采样信息可以在一段时间内,存储在内存中,以便日后查找。
3暨南大学硕士学位论文 1 绪论
14 本文所做工作及章节安排
本 文 主 要 研 究 针 对 拒 绝 服 务 攻 击 的 I P 追 踪 技 术 , 首 先 介 绍 了 防 范 拒 绝 服 务
攻击的几种对策, 包括对拒绝服务攻击的防御、 检测、 追踪等办法。 本文主要从
拒 绝服务攻击的追踪方法上入手,在介绍现有各类追踪方案以后,分析了 I P 追
[ 1 5 ]
踪 技术中混合追踪技术以及分组标记技术。在分析了 G O N G 等 人 提 出
的混合
追踪算法后, 为了克服其中重构路径慢以及误报多等不足 , 提出了新的混合追踪
[ 2 ]
算法。 在分析了 S a va ge 等人 的概率包标记 (P r oba bi l i s t i c
P a c ke t M a r ki ng , P P M )
[ 8 ]
算 法 、 徐 劲 松 等 人 的 基 于 中 国 余 数 定 理 的 概 率 包 标 记 ( P r oba bi l i s t i c P a c ke t
M a r ki ng ba s e d on C hi ne s e r e m a i nde r t he or e m , C
R T - P P M ) 算法等两种概率包标记
算法的基础上,针对其中的一些不足,提出了一种基于 H M A C 的概率包标记算
法。归纳
总结
初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf
得出本文所做工作包括以下几点:
[ 1 5 ]
(1) 分析了 G O N G 等人 提出的混合追踪方案, 指出其中因为日志记录路
由器数量多, 从而导致的重构路径慢以及误报率多的缺点 , 而且当不是所有路由
器都部署了追踪技术的情况下, 重构路径效率低等一系列的不足, 提出了一种新
的利用路由器接口信息作为标记的混合追踪方案, 新方案缩短了路由器的标记信
息, 减少了日志记录的路由器 , 并灵活地根据路由器部署追踪技术的情况 , 来选
择是否作日志记录操作, 从而保证了追踪的有效性。 从理论分析得出 , 新方案在
重构时, 只需要搜索较少的路由器就能追踪到攻击者 , 从而就提高了重构的速度,
而且由于减少了日志记录的路由器,降低了误报,并能更好地适应渐进部署。
( 2 ) 分 析 了 P P M 算 法 以 及 C R T - P P M 算 法 , 并 指 出 其 中 重 构 路 径 数 据 包 数
量多、 未能识别攻击者写入的虚假信息等不足 。 提出了一种基于 H M A C 的 P P M
算法,利用 H M A C 值作为标记信息的一部分,使得不同偏移量的分片信息有了
关联, 而不再是简单的重组 , 从而减少了重构路径中对于不同偏移量的分片的重
组次数,减少了重构路径的数据包数量,因为 H M A C 值是收到密钥保护的,攻
击者不能伪造 H M A C 值, 从而为受害者提供了辨别攻击者写入虚假信息的功能 ,
提高了路径重构准确性和有效性。
(3) 通过在 N S 2 环境下做的仿真实验得出 , 新的混合追踪方案比 G O N G 的
方案在重构路径时搜索的路由器个数要少,重构速度更快。
本论文分为五章,具体安排如下:
4暨南大学硕士学位论文 1 绪论
第一章是绪论, 分析了当前互联网的安全状况和威胁 , 以此引出了本文的研
究内容, 研究目的。 同时扼要地介绍了本文的主要研究工作, 并给出了本文的组
织结构。
第二章介绍了拒绝服务攻击的防范,讲述了应对拒绝服务攻击的几种对策,
其中包括了防御、检测、追踪,主要介绍了5类追踪方法。
第三章简单介绍了G O N G 等人提出的混合追踪方案, 针对其中追踪速度慢以
及误报高的缺点, 提出一种新的混合追踪方案, 提高了重构的速度, 减少了误报,
并能真正定位攻击源。
第四章分析了现有的两种概率包标记追踪方案的不足, 提出了一种新的概率
包标记方案,减少了重构路径所需的数据包数量,提供了标记信息防伪功能。
第五章利用N S 2 仿真平台, 对第三章中 G O N G 的方案和新方案进行仿真实验 ,
再一次证明新方案比原方案的重构速度要快,效率要高。
第六章总结了本文所做工作,以及今后需要进一步完善的工作。
5暨南大学硕士学位论文 2 拒绝服务攻击的防范
2 拒绝 服务 攻击 的防 范
21 什么是拒绝服务攻击
拒绝服务攻击 ( D oS a t t a c k) 是攻击者通过攻击受害者的计算机和网络连接 ,
[ 1 7 ]
或攻击受害者要访问的网站和计算机,使得受害者无法收到正常的服务响应 。
攻击者能够阻止受害者访问电子邮件、 网络站点、 电子账户 如网上银行等 或者
其他的应用服务。如图2.1所示,攻击者通过因特网发送大量攻击数据包到服务
器, 使得服务器要用大量资源以应对攻击数据包, 从而导致正常用户无法从服务
器得到响应。
任何对服务的干涉如果使得其可用性降低或者失去可用性都算是拒绝服务
攻击。 拒绝服务攻击就是要拒绝合法用户对正常网络资源的服务访问 , 破坏网络
活动的正常运行, 造成计算机或网络不能正常运转 , 从而不能向合法用户提供所
需的服务或者使服务质量降低, 以达到破坏的目的。 简言之, 拒绝服务攻击就是
用超出受害者处理能力的大量数据包消耗可用资源, 致使网络服务瘫痪的一种攻
[ 1 ]
击手段 。
正 常用 户 攻 击者
因 特网
服 务器
图2.1 拒绝服务攻击示意图
22 应对拒绝服务攻击的对策
因为对拒绝服务攻击还没有比较优良的解决方案,所以D oS 攻击还是目前公
认的世界难题。因为因特网的基本
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
(T C P /I P 协议)存在漏洞,所以D oS 攻
击通常是利用这些漏洞进行攻击的。因此在目前的网络架构以及协议的基础上,
针对各种拒绝服务攻击攻击的检测以及防御技术, 都未能取得理想的效果 。 于是,
6暨南大学硕士学位论文 2 拒绝服务攻击的防范
相当多的学者开始着手尝试对现有协议进行修改, 更有一部分有远见的研究人员
[ 1 8 ]
已经开始构建下一代更安全的I n t e r ne t 网络体系 。 就目前而言, 应
对D D oS 攻击
的对策主要包括三个方面:防御、检测和追踪。
2 .2 .1 拒绝服务攻击的防御
针对拒绝服务攻击的防御, 通常指的是防止攻击的发生 , 减小攻击所带来的
危害。 从防御措施在网络中部署的位置来分类, 可以将其分为三大类: 源端防御、
中端防御和终端防御。 源端指的是攻击数据的发出端, 可以分为两类: 第一类是
攻击者直接发送攻击数据包, 则源端指的就是攻击者所在的网络; 第二类是攻击
者利用傀儡机进行攻击, 则源端指的是傀儡机所在网络 。 中端是指从攻击源端发
出的数据包传送到终端所经过的中转设备,这些设备主要起到传输数据包的作
用。 而终端则有两种情况: 第一种情况是当攻击目标是主机时, 终端指的是主机
以及其所在的网络;第二种情况是当攻击目标是带宽时,终端指的是目标网络。
源端防御是指, 在发出攻击性数据包的源端所采取的防御措施 。 一些减少主
机被攻击者攻破而沦为傀儡机的机会的方法, 例如打好安全补丁 、 经常进
行端口
扫描、 关闭不需要的服务和端口、 经常进行攻击测试、 病毒防护等。 同时, 傀儡
机的检测与清除也属于源端防御的内容,因为傀儡机正是攻击数据包的制造者。
中端防御是指, 在攻击数据包的传输途中所采取的防范措施 。 部署在中端的
检测措施也可以在攻击流对网络资源造成巨大浪费之前, 将其过滤或者限制其流
量。 然而 , 由于中间网络通常属于核心网络 , 其转发数据非常之大, 因此常常没
有足够的资源用来防御针对它自身以外的其他网络攻击。
受害者端能够采取的防御措施一般包括提高主机与网络的安全性、 增强容忍
性、 以及对攻击数据包进行过滤等。 增强容忍性是通过在受害者受到攻击时增强
其承受能力来抵抗攻击, 因为受害者的资源相对攻击而言是非常有限的, 所以这
是一种很被动的方法,从而导致该方法的效果也非常有限。
2 .2 .2 拒绝服务攻击的检测
与其他网络攻击一样, 人们都希望尽早检测出网络受到攻击 , 以作出下一步
[ 1 9 ] [ 2 0 ]
的应对措施,对拒绝服务攻击的检测方法有很多,其中有下面两种 。
7暨南大学硕士学位论文 2 拒绝服务攻击的防范
[ 2 1 ]
(1) 基于流量自相似特性的流量检测 ,因为拒绝服务攻击使流量的统计
特性发生了变法, 所以很多方法都是基于对统计特性的检测 。 文献[ 22] 提出了一
种利用协方差来分析异常流量的检测算法,其对于不同协议,在单位时间内, 对
不同的数据包进行分别累积, 然后对不同时段的数据包累积向量, 算出其相互间
的协方差矩阵, 并且对矩阵进行量化 , 从中得知网络中各种数据包量的变化情况 。
文献[ 23] 运用了熵的方法对网络流量的自相似性进行检测, 根据在网络截获的数
据包的源I P 地址的数量变化特征,用统计方法来计算出其总体能量的变化特征,
从而得出网络的异常。
(2) 基于T C P 攻击包中的S Y N 包和F I N 包的比例关系的检测,文献[ 24] 提出
了一个对S Y N F l oodi ng 进行检测的C U S U M 算法,其主要是基于在正常传输情况
下,T C P 包中S Y N 包与F I N 包是有一定对应关系的。借此对应关系,文章中定义n SY N n F I N n , x n / F n ,其中n 是在第 n 个时间段内S Y N 包个数与
n
F I N 包个数之差 , x 是n 与F I N 包均值估计 F n 之比, 且不再与具体网络或业务
n
相关,然后对x 运用非参数的C U S U M 算法进行统计。由于在发生S Y N F l oodi ng
n
攻击时,S Y N 包和F I N 包的比例关系被打破,于是检测出攻击。
2 .2 .3 拒绝服务攻击的追踪
对拒绝服务攻击的追踪也就是I P 追踪, 它是确定某个数据包或某些具有共同
特征分组来源的技术。 这一技术除了能找到网络攻击的发起源以便对攻击发起人
进行法律和经济上的惩罚, 还能威慑那些企图进行网络攻击的人, 以减少攻击发
起的数量,当然也可用于网络诊断。I P 追踪技术可以分为以下五类:
[ 2 5 ]
(1)链路测试技术 ,又称为逐跳回溯,它从离受害者最近一跳的路由器
开始检查, 逐跳回溯到离攻击者最近的路由器 。 它的优点是能够与现有的
协议兼
容, 与现有的路由器和网络设施兼容, 可以逐步实现。 缺点是当攻击时间持续足
够长后才能成功溯源, 而且不适应分布式的拒绝服务攻击 , 需要多个网络服务提
供商互相协调。目前的链接测试方法主要有两种:输入调试法和受控泛洪法。
输入调试法在路由器层实现, 当受害者发现自己受到攻击后, 把攻击数据包
的特征发送给网络管理员, 然后网络管理员根据这些特征信息, 对受害者的上游
路由器输出端口建立一个过滤规则,将到达路由器的数据包和攻击特征进行比
8暨南大学硕士学位论文 2 拒绝服务攻击的防范
较,从而确定攻击数据包的输入端口。并在所有路由器上重复上述处理过程, 逐
跳追踪,直到找到攻击包的发出主机。
受控泛洪是当受到攻击时, 对路由器的每一条输入链路分别进行淹没 , 由于
缓冲区共享, 使得攻击数据包的丢失率将增加 。 观察下级路由器收到攻击数据包
速率的变化, 就可以找到上一级的链路。 这个方法虽然实现简单, 但本身也制造
了很多流量,消耗网络带宽,而且还需要网络的拓扑数据才行。
(2) 覆盖网技术,它通过物理连接、I P 隧道或者第二层虚拟连接方式与边
[ 2 6 ]
界路由器相连 。 在覆盖网技术中 , 一些可疑的数据包由边界路由器直接转发到
覆盖网络中的特殊追踪路由器, 追踪网络与之相连的嗅探器根据数据包进入该网
络的入口判断数据包的来源 (来自哪个边界路由器) 。 追踪网络上的数据包会经
过再一次检查,然后根据检查结果决定丢弃该包或是将其转发到相应的出口。 在
数据包终端, 一旦发现有攻击在进行 , 受害者或其代理可以通过追踪网络查到转
发攻击数据包进入追踪网络的那个边界路由器。 它的优点是只需要较低的存储和
计算开销,但对网络造成的负担较大。
(3) I C M P 溯 源 技 术 , 它 利 用 I C M P 消 息 记 录 分 组 的 路 径 信 息 的 技 术 。
[ 2 7 ]
最 早 提 出 的 是 i T r a c e 技 术 。 这 个 方 法 利 用 加 载 了 跟 踪 机 制 的 路 由 器 ( 称 为
i T r a c e 路由器) 以很低的概率发送一种特殊定义的 I C M P 数据包 。
这个数据包包
含局部路径信息: 发送它的路由器 I P 地址、 前一跳和后一跳路由器的 I P 地址以
及 它 的 身 份 验 证 信 息 。 可 以 通 过 查 找 相 应 的 I C M P 追 踪 消 息 , 并 检 查 它 的 源 I P
地址,来识别经过的路由器。当遭受攻击时,受害者会收到大量的攻击数据包,
同时也会收到与这些攻击数据包对应的 I C M P 追踪信息。 但是, 由于为每个分组
创 建 一 个 I C M P 追 踪 消 息 增 加 了 网 络 业 务 , 所 以 每 个 路 由 器 以 很 低 的 概 率
(1/ 20,000 )为 经过分组创建 I C M P 追 踪消息。如果攻击者发送了许多分组,那
么目标网络就可以收集足够的 I C M P 追踪消息来识别它的攻击路径。 该算法的 缺
点 在 于 产 生 I C M P 追 踪 消 息 数 据 包 的 概 率 不 能 太 高 , 否 则 带 宽 耗 用 太 高 , 但 太
低的概率, 就会导致需要收到大量的攻击数据包时, 才能找到攻击源 。 I C M P 溯
源 技 术 的 优 点 是 允 许 事 后 分 析 , 网 络 服 务 提 供 商 无 需 互 相 协 调 , 与 现 有 协 议 兼
容, 。缺点是增加了网络负担,而且 I C M P 信息容易被伪造。
(4) 日志记录技术,日志记录思想是路由器记录下与攻击数据包有关的信
9暨南大学硕士学位论文 2 拒绝服务攻击的防范
息作为日志。 当攻击发生后, 受害者根据攻击数据包的相关日志信息询问上游上
游路由器, 查看它们经过了哪些路由器。 上游路由器接到查询时, 检查自己的数
据库中是否有该日志的摘要, 如果有, 则判断攻击流经过了该路由器, 并依此向
上直至找到攻击源头。 它的优点是与现有的协议兼容 , 利用一个数据包就能重构
路径,网络负担不大。缺点是路由器需要存储日志信息。
(5) 分组标记技术,它的基本原理是,攻击路径上的的路由器以一定的概
率往数据包里填写有关本路由的信息。 当受害者收集到足够的由路由器填写信息
的数据包后, 从中提取出攻击路径的信息, 从而确定攻击者的位置 。 与I C M P 溯
源技术不同的是, 分组标记技术不增加额外的数据包 , 而只是利用攻击数据包重
构攻击路径, 因此不会额外消耗带宽。 它的优点是允许事后分析, 网络负担不大,
也无需因特网服务提供商之间的协调。 缺点是因为要复用数据包头的信息 , 导致
需要修改协议, 而且一般都要收到的大量攻击数据包才能重构出路径, 对攻击路
径的重构也存在一定的错误可能。
除了上述5种方法外,将第4类的日志记录与第5类的分组标记综合一起运用
就产生了混合式的追踪技术。 混合式的追踪技术吸取了分组标记技术和日志记录
技术的优点, 同时也克服了它们的一些缺点。 例如在保持日志记录技术中 , 只用
一个数据包就能找出攻击源的特点, 又有效地减少路由器对日志记录的存储开销
等。
23 本章小结
本章首先介绍了拒绝服务攻击的基本原理,总结了防范拒绝服务攻击的3种
措施,包括了对其防御、检测、追踪等,其中详细介绍了追踪的5种技术的。
1 0暨南大学硕士学位论文 3 一种基于路由器接口的混合 I P 追踪方案
3 一种 基于 路由 器接 口的 混合 I P 追踪 方案
[ 1 5 ]
本章分析了G O N G 等人 提出的一种混合式的追踪方案 , 指出其中存在重构
速度慢、 日志记录路由器数量多、 误报高等缺点, 并提出了一种利用 路由器的接
口信息来表示一个路由器的混合追踪方案。 新方案减少了日志记录的路由器的数
量,使得重构路径时查询的路由器减少,加快了重构的速度,降低了误报率, 并
且能准确定位到攻击源,而不只是最后 1跳路由器。新方案还能灵活地根据路由
器部署情况来选择是否做日志记录操作, 使得在不是所有路由器都部署了追踪技
术时,仍然保持追踪的效率和有效性。
31 G O N G 的混合式追踪方案分析
[ 1 5 ]
G O N G 等人提出的混合式追踪方案 (H y b r i d I P T r a c e ba c k,H
I T ) 的基本思想
是, 将一部分的攻击路径信息记录在数据包里, 而把一部分的路径信息记录在路
由器中, 从而只用一个数据包就能找出攻击源 , 又有效地减少路由器对日志记录
的存储开销。
3 .1 .1 G ON G的混合式追踪方案简介
3 .1 .1. 1 对数据包头的重用
[ 2 ] [ 5 ] [ 1 0 ]
与分组标记方案 类似, H I T 因为要用到数据包记录路径信息 , 所以也要
用到数据包头中的标识域,将 16位空间分成两部分,分别是 1位的关于日志记录
的标志,15位的路由器I D ,具体编码格式如图 3.1所示。
1 1暨南大学硕士学位论文 3 一种基于路由器接口的混合 I P 追踪方案
4 位 版本 4 位 首部 8 位 服务 类型 1 6 位 总长 度
1 6 位 标识 标 志 1 3 位 片偏 移
8 位 生存 时间 8 位 协议 1 6 位 首部 校检 和
3 2 位 源 I P 地 址
3 2 位 目的 I P 地 址
1 位 1 5 位
l o g g i n g _ f l a g r o u t e r _ I D
图3.1 H I T 中数据包头编码
l og gi ng_f l a g ( 日 志 记 录 的 标 志 ) : 用 于 记 录 前1 跳 路 由 器 有 没 有 对 数 据 包 做
日志记录操作。
r out e r _I D ( 路 由 器 I D ) : 用 于 记 录 路 由 器 的I D 号 , 这 个 I D 号 对 于 一 个 路 由 器
的内部而言是唯一的,也就是一个路由器用这个 I D 号能识别出与它相隔 2跳以内
[ 1 5 ]
的路由器 。
3 .1 .1. 2 摘要的计算与存储
H I T 方 案需要把部分路径信息记录到路由器中,其中就要计算关于数据包的
摘要信息, 以及存储摘要信息和路径信息 。 H I T 方案通过用数据包头中不变的信
息作为生成摘要信息函数的输入, 其中生成摘要用的是哈希函数 , 输入包括了数
据包头中除了服务类型、 生存时间 、 首部校检和以及日志记录标志以外的所有信
息 。 然 后 按 照 不 同 的 路 由 器 I D 号 分 别 存 储 , 其 中 摘 要 记 录 的 存 储 用 到 了 B l oom
f i l t e r 的存储结构以节省空间。
3 .1 .1. 3 标记算法
路 由器初始化的时候,每个路由器都要编一个 I D 号 ,而且这个 I D 号 在 2 跳 距
离的范围是唯一的,也就是说任何路由器根据收到的 I D 号都能确定一个在它 2跳
范围内的一个路由器。初始化后每个路由器记录下它 2跳范围内的所有路由器的
I D 号。
当攻击数据包到来的时候 , 首先检查 r out e r _I D 内的信息是否合法 (因为每个
1 2暨南大学硕士学位论文 3 一种基于路由器接口的混合 I P 追踪方案
路由器都记录下它 2 跳范围内的所有路由器的 I D 号,如果 r out e r _I D 不在其中,那
么就判断为不合法的) , 如果不合法的话, 就意味着数据包是从攻击者直接到达
该 路 由 器 的 , 而 且 期 间 还 没 有 到 达 过 其 他 路 由 器 , 所 以 这 里 只 需 写 入 自 己 的 I D
号 ,然后把日志记录标志置 0, 以表示没有做日志记录。当检查到 r out e r _I D 内 的
信息是合法的,那么继续检查日志记录标志,当它是 0的时候,
说明
关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书
上跳路由器
没有作日志记录, 那么计算它的日志记录 , 并储存到路由器里 , 将自己的I D 号写
入路由器I D 域, 把日志记录标志置 1; 当日志记录标志是1的时候, 说明上跳路由
器做了日志记录操作, 那么这里只需对数据包标记 , 也就是写自己的I D 号到路由
器I D 域,把日志记录标志置 0.具体算法如下所示:
l e t d be t he I D num be r of t he c ur r e nt r out e r
f or e a c h pa c ke t p
i f p.r out e r _I D i s va l i d a t t he c ur r e nt r out e r t
he n
i f p.l oggi ng_f l ag 0 t he n
c om put e a nd s t or e t he di g e s t of p
p.r out e r _I D : d
p.l oggi ng_f l ag : 1
e l s e
p.r out e r _I D : d
p.l oggi ng_f l ag : 0
e l s e
p.r out e r _I D : d
p.l oggi ng_f l ag : 0
3 .1 .1. 4 重构算法
受害者收到攻击数据包后, 首先查看数据包头中的路由器I D 域, 就能找到上
一跳的路由器了,然后将这个数据包发给这个路由器。
(1) 如果包头中的日志记录标记是1的话, 说明该数据包在这个路由器作了
日志记录, 那么就要用这个包的信息计算摘要, 然后在摘要表里搜索 , 并得到上
一跳路由
浙公网安备 33021202002483