拒绝服务攻击中IP追踪技术的研究

中南大学 硕士学位论文 拒绝服务攻击中IP追踪技术的研究 姓名：唐俊 申请学位级别：硕士 专业：计算机应用技术指导教师：费耀平 20080501 摘要 拒绝服务（Ｄｅｎｉａｌ—ｏｆ－Ｓｅｒｖｉｃｅ，ＤｏＳ）攻击由于易实施、难防范、难追踪，已成为网络安全领域最难解决的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 之一。ＩＰ追踪是一种能够定位攻击来源的主动防御技术，快速准确地定位攻击源为实时阻断或隔离攻击提供了有利条件，能够提供法律举证，威慑攻击者，从而提高网络的安全性。因此，ＩＰ追踪问题已成为ＤｏＳ攻击防御研究中最重要也是最关键的课题之一。 围绕ＤｏＳ攻击中的ＩＰ追踪问题展开了深入的研究和探讨。提出两种新的弥补概率包标记ＩＰ追踪 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ：非强制性弥补概率包标记法和基于记录的弥补概率包标记法。改进了ＩＰ包头标记域和标记内容；在标记策略方面，分别采用了非强制标记思想和使用记录表的思想，对由于重新标记而造成的剩余概率的损失进行了弥补；同时采用网络拓扑验证ＩＰ地址的合法性。解决了因数据包重复标记而导致的“最弱链”问题以及使用Ｈａｓｈ压缩ＩＰ地址所导致的高计算负载和高误报问题。理论分析与实验结果表明，与基本包标记及高级包标记相比，新方案具有理想的收敛性能，误报率及计算开销。 在研究路由器接口ＩＤ标记基础上，提出基于信任关系的路由器接口ＩＤ标记方案。针对使用ＩＰ地址做为路由器唯一标识符所导致的低收敛性，高计算开销和误报，以及地址欺骗型攻击等问题进行研究。解决了基本路由器接口标记中无法支持路由器接口数大于６４的问题。同时，为不同的路由器配置不同的信任因子，通过信任因子划分信任域，解决了域问追踪问题。在边界路由器不诚实或被攻陷的情况下，能够快速准确地追踪到信任域的边界。 关键词拒绝服务攻击，ＩＰ追踪，概率包标记，路由器接口ＩＤ标记 ＡＢＳＴＲＡＣＴ ＤｅｎｉａｌｏｆｓｉｎｃｅｉｔｉＳ ｓｅｒｖｉｃｅ ａＲａｃｋｉＳａｍｏｎｇｔｈｅｈａｒｄｅｓｔｐｒｏｂｌｅｍｓｔｏａｄｄｒｅｓｓ ｅａｓｙｔｏｉａｕｎｃｈ．ｄｉｆｆｉｃｕｌｔｔｏｄｅｆｅｎｄａｎｄｔｒａｃｅ．Ｔｈｅｅｘｉｓｔｉｎｇ ｎｏｔ ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ ｔｒａｃｅｂａｃｋｉｓｔｈｅ ｓｏｕｒｃｅ ａ ｃａｎ ｄｏｗｅｌｌ ｏｎｌｙｂｙ ｐａｓｓｉｖｅｄｅｆｅｎｓｅｐｏｌｉｃｙ．ＩＰ ｋｉｎｄｏｆａｃｔｉｖｅｄｅｆｅｎｓｉｖｅｔｅｃｈｎｏｌｏｇｙｗｈｉｃｈｉｓａｂｌｅｔｏｌｏｃａｔｅ ｏｆａｔｔａｃｋｓ．Ｉｎｏｒｄｅｒｔｏｉｎｓｕｌａｔｅｔｈｅａｔｔａｃｋ，ｐｒｏｖｉｄｅｔｈｅｌｅｇａｌ ｓｏｕｒｃｅ ｐｒｏｏｆａｎｄｄｅｔｅｒａｔｔａｃｋ，ｉｔｉｓｎｅｓｓｅａｒｙｔｏｌｏｃａｔｅｔｈｅａｎｄ ｏｆａｔｔａｃｋｒａｐｉｄｌｙ ｅｆｆｉｃｉｅｎｔｌｙ．Ｓｏ Ｔｈｅｒｅｓｅａｒｃｈ ＩＰｔｒａｃｅｂａｃｋｉｓｔｈｅｋｅｙｔｈｅｓｉｓｉｎｄｅｆｅｎｄｉｎｇｔｈｅＤｏＳ ａｔｔａｃｋ． ｆｏｃｕｓｅｓ ｏｎ ｔｈｅＩＰｔｒａｃｅｂａｃｋｉｎＤｏＳ／ＤＤｏＳａｔｔａｃｋ． Ｂａｓｅｄ ｏｎ ｔｈｅａｎａｌｙｓｉｓｏｆｔｈｅｐａｃｋｅｔｍａｒｋｉｎｇｓｃｈｅｍｅｓ，ｔｗｏｎｅｗｐａｃｋｅｔ ｍａｒｋｉｎｇｍｅｔｈｏｄｓ：Ｎｏｎ—ｃｏｍｐｕｌｓｏｒｙＲｅｐａｒａｂｌｅ ＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔ Ｍａｒｋｉｎｇ（ｎＣＲＰＰＭ）ａｎｄＭａｒｋｉｎｇ（ＲＢＲＰＰＭ）ａｒｅ Ｒｅｃｏｒｄ—ＢａｓｅｄＲｅｐａｒａｂｌｅＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔ ｂｒｏｕｇｈｔｆｏｒｗａｒｄｔｏｒｅｓｏｌｖｅｔｈｅｉｓｓｕｅｓａｒｉｓｅｆｒｏｍ ｔｈａｔｔｈｅｉｎｆｏｒｍａｔｉｏｎｃｏｎｔａｉｎｅｄｉｎｔｈｅｍａｒｋｉｎｇｆｉｅｌｄｍａｙｂｅ ｏｖｅｒｗｆｉｔｅｄ ｂｙ ｄｏｗｎｓｔｒｅａｍｒｏｕｔｅｒｓ．Ｍｅａｎｗｈｉｌｅ，ｔｈｅｌｏｗｃｏｎｖｅｒｇｅｎｃｅｒｅｓｕｌｔｓｆｒｏｍ“ｔｈｅ ｗｅａｋｅｓｔｌｉｎｋ”ｐｒｏｂｌｅｍ，ａｎｄｔｈｅｈｉｇｈｃｏｍｐｕｔｅｏｖｅｒｈｅａｄａｎｄｆａｌｓｅｐｏｓｉｔｉｖｅａｒｉｓｅｄｆｒｏｍ ａｓｓｅｍｂｌｉｎｇａｎｄｈａｓｈｃｏｎｆｌｉｃｔ ｔｈｅ ａｒｅ ａｌｌｓｅｔｔｌｅｄ．Ｔｈｅｓｅ ｉｎ ＩＰ ｔｏ ｔｗｏ ｍｅｔｈｏｄｓｕｔｉｌｉｚｅ ｎｅｗ ｍａｒｋｉｎｇ ａｎｄ ｒｅｃｏｒｄ ｉｎｆｏｒｍａｔｉｏｎｂａｓｅｄｃａｕｓｅｄ ｈｅａｄｅｒ，ｕｓｅｒｅｐａｉｒ ｔｈｅ ｎｏｎ—ｃｏｍｐｕｌｓｏｒｙｍａｒｋｉｎｇ ｒｅｄｕｃｔｉｏｎ ｏｆ ｔｈｅ ｌｅｆｔｏｖｅｒ ｍａｒｋｉｎｇ ｂｙ ｔｈｅ ｐｒｏｂａｂｉｌｉｔｙ ｃｏｍｐｕｌｓｏｒｉｌｙ ｔｏ ｒｅｍａｒｋｉｎｇ，ａｎｄｕｔｉｌｉｚｅｎｅｔｗｏｒｋｔｏｐｏｌｏｇｙ ｔｏｃｈｅｃｋｅｄｇｅ ＩＤ．Ｃａｍｐａｒｅ ＰＰＭ．ｎｅｗｓｃｈｅｍｅｓ ａｎｄｆａｌｓｅｐｏｓｉｔｉｖｅ． ｈａｖｅｏｐｔｉｍａｌｃｏｎｖｅｒｇｅｎｃｙ，ｌｏｗｅｒｃｏｍｐｕｔｅｏｖｅｒｈｅａｄ Ｔｈｅｅｘｉｔｉｎｇｓｃｈｅｍｅｓｒｉｓｅｓｅｖｅｒａｌ ｉｓｓｕｅｓａｎｄ ｃａｎ ｎｏｔｓｅｔｔｌｅｔｈｅＩＰ ｓｐｏｏｆｉｎｇａｔｔａｃｋｅｓａｎｄｉｎｔｅｒ－ｄｏｍａｉｎｔｒａｃｅｂａｃｋ．Ａｎｅｗｔｒｕｓｔ－ｒｅｌａｔｉｏｎｓｈｉｐｂａｓｅｄｒｏｕｔｅｒｉｎｔｅｒｆａｃｅＩＤｍａｒｋｉｎｇｍｅｔｈｏｄｉｓｐｕｔ ｆｏｒｗａｒｄ．Ｕｓｅ ｃａｎ ｔｈｅ ｔｒｕｓｔｔｒｕｓｔ ｆａｃｔｏｒｔｏｄｉｖｉｄｅｔｈｅｔｒｕｓｔａｒｅａ．Ｔｈｅｄｉｆｆｅｒｅｎｔｒｏｕｔｅｒｓｈａｖｅｔｈｅｄｉｆｆｅｒｅｎｔ ｆａｃｔｏｒｓ．Ｔｈｒｏｕｇｈ Ｗｉｔｈ ｔｈａｎ ６４ ａｒｅ ｔｈｉｓｍｅｔｈｏｄ，ｔｈｅｅｄｇｅｏｆｔｈｅｔｒｕｓｔ ａｒｅａ ｂｅｔｒａｃｅｄ． ａｒｅ ｔｈｉｓｍｅｔｈｏｄ，ｔｈｅｉｓｓｕｅｓｔｈａｔｔｈｅｒｏｕｔｅｒｓｗｈｏｓｅｉｎｔｅｒｆａｃｅｓ ｎｏｔ ｍｏｒｅ ｓｕｐｐｏｒｔｅｄ，ｔｈｅ ａｒｅ ＩＰ ｓｐｏｏｆｉｎｇ ｔｈｅ ａｔｔａｃｋａｎｄｉｎｔｅｒ－ｄｏｍａｉｎ ｔｒａｃｅｂａｃｋｐｒｏｂｌｅｍ ａｌｌ ｓｅｔｔｌｅｄ．Ｕｎｄｅｒ ｃｉｒｃｕｍｓｔａｎｃｅｗｅｒｅｔｈｅ ｒｏｕｔｅｒｓｃｏｍｐｒｏｍｉｓｅｄ，ｔｈｅｅｄｇｅｒｏｕｔｅｒｓｏｆｔｈｅｔｒｕｓｔｄｏｍａｉｎｃａｎｂｅｔｒａｃｋｅｄ．ＫＥＹＷＯＲＤＳＤｅｎｉａｌ—ｏｆ－Ｓｅｒｖｉｃｅａｔｔａｃｋ，ＩＰｔｒａｃｅｂａｃｋ，ｐｒｏｂａｂｉｌｉｓｔｉｃｐａｃｋｅｔｍａｒｋｉｎｇ，ｒｏｕｔｅｒｉｎｔｅｒｆａｃｅＩＤｍａｒｋｉｎｇ 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 。 作者签名：里垒日期：丛年工月堑日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所将本学位论文收录到《中国学位论文全文数据库》，并通过网络向社会公众提供信息服务。 硕士学位论文第一章绪论 第一章绪论 １．１研究背景 随着信息技术的飞速发展，世界范围的Ｉｎｔｅｍｅｔ网络已得到空前发展并正在日新月异地改变着人类生活的各个方面。目前，我国的企事业单位以及居民个人上网都在飞速发展中。据中国互联网络信息中心２００８年《中国互联网络发展状况统计报告》，截至２００７年１２月，我国网民数已增至２．１亿人。网民数增长迅速，比２００７年６月增加４８００万人，２００７年一年则增加了７３００万人，年增长率达到５３．３％，呈指数级增长，在过去一年中平均每天增加网民２０万人。目前中国的网民人数略低于美国的２．１５亿，位于世界第二位…。现在随着电子商务，电子政务等的发展，我们不仅可以通过网络与远方的朋友即时通讯、发送电子邮件；而且，足不出户，我们就可以通过互联网购物、接收远程教育，进行远程办公等。目前，我们对网络的依赖己大大增加。可以说，互联网的正常运转已经影响到了社会生活的方方面面，网络已经成为生活中不可或缺的东西。 随着网络的迅猛发展，人们越来越依赖计算机网络，网络安全问题已经成为了摆在我们面前的一个严峻的问题。窃听机密信息，破坏存储信息的计算机设备等网络犯罪已经成为一种难以防范的新型犯罪。另外病毒、蠕虫、木马，以及针对计算机系统的入侵行为都对人们的正常生产生活构成了严重的威胁。然而，即使是防御机制，目前也变得无法信赖。例如２００７年，著名计算机安全厂商Ｓｙｍａｎｔｅｃ公司的防病毒软件“诺顿”自动升级后造成ＷｉｎｄｏｗｓＸＰ系统崩溃事件对全球的计算机用户造成了严重的影响。因此，如何保护计算机系统以及通信网络中的数据和信息已经变得越来越重要，也越来越棘手。表１—１为网络安全问题发生的比率【２１。可见，互联网的安全问题已同趋严重。因此，设计一套完整的网络安全架构，以便保护信息的安全，对抗任何形式的网络攻击，帮助执法部门收集相关法律证据已经成为当务之急。 表１．１网络安全问题发生的比率 网络安全问题 病毒、蠕虫和其他恶意代码 账号／个人信息被盗、被改 网上遭剑黑律攻击 被仿冒网站欺骗 都没有碰剑过 其他比例９０．８％４４．８％２６．７％２３．９％２．５％１．２％ 硕七学位论文第一章绪论１．２研究目的及意义 在针对计算机系统及通信网络的各种攻击中，拒绝服务（Ｄｅｎｉａｌ—ｏｆ－Ｓｅｒｖｉｃｅ，ＤｏＳ）攻击以及分布式拒绝服务攻击（ＤｉｓｔｒｉｂｕｔｅｄＤｅｎｉａｌ．ｏｆ－Ｓｅｒｖｉｃｅ，ＤＤｏＳ）攻击是被广泛采用，并且后果非常严重的攻击方式。ＤｏＳ攻击是使Ｉｎｔｅｍｅｔ中的受害者（主机，服务器，路由器等计算机设备）无法提供或接收服务【３１，如：使受攻击的主机系统瘫痪或者服务失效，合法用户无法得到相应的资源；使受攻击的主机用户无法使用网络连接等。ＤｏＳ攻击属于网络上的主动攻击形式，它不入侵目标主机，不窃取或修改主机内的数据，攻击者不能直接从这类攻击行动中受益。ＤＤｏＳ攻击是ＤｏＳ攻击的集群攻击方式【４】，它是攻击者控制大量分布在各处的主机，组成ＤＤｏＳ网络，集中的同时向目标发动ＤＤｏＳ攻击。根据２００６年美国计算机安全研究所（ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙＩｎｓｔｉｔｕｔｅ，ｃｓＩ）与旧会山ＦＢＩ的计算机入侵小组联合进行的统计调查显示，被调查的３１３起攻击案件造成了总和高达５２，４９４，２９０美元的经济损失。其中，ＤｏＳ攻击所造成的经济损失高达２，９２２，０１０美元【５Ｊ。 ２００２年２月，包括Ｂｕｙ．ｃｏｍ，Ｙａｈｏｏ，ｅＢａｙ，ＣＮＮ，Ａｍａｚｏｎ以及Ｅ＇ｔｒａｄｅ在内的大型Ｉｎｔｅｒｎｅｔ电子商务站点遭受到大规模ＤｏＳ／ＤＤｏＳ攻击。甚至一些为Ｉｎｔｅｒｎｅｔ提供基础服务的设施也遭到ＤｏＳ／ＤＤｏＳ攻击。２００２年，１３台ＤＮＳ根服务器遭受ＤｏＳ／ＤＤｏＳ攻击，造成服务器大面积瘫痪，无法提供正常的域名解析服务。除了对知名站点的攻击外，还有大量的攻击尚未公布。许多国内外站点都已经成为了ＤｏＳ／ＤＤｏＳ攻击的牺牲品。范围包括小型商业站点，教育机构以及政府机构等。在过去的几年中，Ｉｎｔｅｒｎｅｔ上的ＤｏＳ／ＤＤｏＳ攻击十分猖獗。而且，随着相关技术的发展，ＤｏＳ／ＤＤｏＳ攻击也呈现出一些新的特点。例如近几年蠕虫（Ｗｏｒｍ）的肆虐就为ＤｏＳ／ＤＤｏＳ攻击创造了便利条件，大大缩短了ＤｏＳ／ＤＤｏＳ攻击的准备时间；同时ＤｏＳ／ＤＤｏＳ攻击也为其它攻击创造了条件，例如利用ＤｏＳ／ＤＤｏＳ攻击使某主机瘫痪就可以达到冒充该主机的目的。因此，ＤｏＳ／ＤＤｏＳ攻击与其它攻击形式并不是孤立的，它们相互助纣为虐，推波助澜，大大加重了对Ｉｎｔｅｍｅｔ安全的威胁程度。 从以上种种安全事件和发展趋势可以看出，ＤｏＳ／ＤＤｏＳ攻击己经成为当前Ｉｎｔｅｍｅｔ面临的主要威胁之一，急需提出有效的防御措旌。它的出现和发展己经引起了研究者和工业界的广泛兴趣，成为近几年的研究热点问题。针对ＤｏＳ／ＤＤｏＳ攻击的特点，研究者们相继提出了不同的防御措施。已有的这些措施虽然在某些方面能取得较好的效果，但仍然不是很完善，存在着这样或那样的问题，尚待进一步的深入研究。而且，随着相关攻击技术的发展，ＤｏＳ／ＤＤｏＳ攻击的发展也呈现出一些新的特点，这也需要我们根据这些新特点做出更多的努力来２ 硕士学位论文第一章绪论解决这一安全问题。 １．３论文的主要工作 在现实世界中，对付犯罪行为的方法主要有两类：一类是防范，即增加犯罪行为的实施难度、减轻受害者的受害程度；另一类是责任追究，这一方面可以在事发后追回损失，另一方面由于对犯罪行为的惩罚而对现在的可能发生的犯罪行为构成威慑，从而减少犯罪的发生。对付网络中的攻击行为也不外乎这两类策略。除了被动地通过各种方法减轻ＤｏＳ／ＤＤｏＳ所造成的影响程度以外，追踪攻击源以找出攻击者已成为一种更好更主动的方法。它采取主动出击的策略帮助受害者定位攻击的源头。根据追踪结果，我们不仅可以有针对性地在更适当的位置部署相关防御措施（如流量限速器，ＲａｔｅＬｉｍｉｔｅｒ），而且可以从攻击的源头有效地扼制攻击流对中间传输网络和受害者的影响。目前，人们提出了许多追踪方案，这些方案都有各自的优缺点。 本文围绕ＤｏＳ／ＤＤｏＳ攻击中攻击源追踪问题展开研究，重点讨论了ＩＰ数据包标记追踪技术。在此基础上，提出了一些新的追踪方案。本文主要工作如下： １．本文分析了ＤｏＳ／ＤＤｏＳ攻击的攻击原理、对策，以及现有ＩＰ追踪方案，深入研究了各种数据包标记方案，客观评价了各种方法的适用环境和性能。 ２．在对现有包标记方案进行分析的基础上，提出了两种新的弥补概率包标记ＩＰ追踪方案。第一种方案中，使用了非强制标记思想，第二种方案使用一张记录表来记录已标记包中由于重新标记而被覆盖的信息，用这些被覆盖的信息标记未被标记过的包。两种方法通过使用大量未标记包，弥补每个路由器的标记概率以达到最优化收敛时间和路径重构时间的目的。 ３．提出了一种新的基于信任关系的路由器接口标记方案，使用路由器接口ＩＤ唯一地标识一条攻击路径，有效解决了地址欺骗型攻击的追踪问题，解决了由于ＩＰ地址分片组合所导致的组合爆炸，高计算开销以及高误报率。通过设置信任因子，划分出信任域，解决了域间追踪问题，在边界路由器不诚实或被攻陷的情况下，能够追踪到信任域的边界。 １．４论文的结构 本文共分为五章，文章结构和各章内容简介如下： 第一章为本文的相关研究背景和研究目的，分析了当前互联网的安全状况和威胁，以此引出了本文的研究内容，研究目标和研究意义。同时扼要地介绍了本文的主要研究工作，并给出了本文的组织结构。 硕十学位论文第一章绪论 第二章讨论了ＤｏＳ／ＤＤｏＳ攻击的原理、机制，介绍了ＤｏＳ／ＤＤｏＳ攻击的防范和对策。对ＩＰ追踪方案进行了详细的分析，重点分析了各种概率包标记方案。 第三章对当前概率包标记方案中产生各种问题的原因进行了理论分析，在此基础上，提出了两种新的弥补概率包标记方案，有效的减小了重构攻击路径时的收敛时间以及计算开销，提高了路径重构的效率。 第四章提出了一种新的基于信任关系的路由器接口包标记算法，有效地减小了重构路径时的收敛时间以及计算丌销，提高了路径重构的效率。同时初步解决了域间追踪问题，在边界路由器不诚实或被攻陷的情况下，能够追踪到信任域的边界。 第五章是结论，同时介绍了今后需要进一步完善的工作。４ 硕士学位论文第二章ｌＰ追踪技术研究与分析 第二章ＩＰ追踪技术研究与分析 ２．１拒绝服务攻击及对策 从广义上来说，任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于拒绝服务攻击的范畴。具体而言，拒绝服务攻击是指攻击网络协议实现的缺陷或通过各种手段耗尽被攻击对象的资源，使得被攻击计算机或网络无法提供正常的服务，直至系统停止响应甚至崩溃的攻击方式１６Ｊ。ＤｏＳ攻击的服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接等。 ＤｏＳ攻击的关键在于所达到的效果：延迟或者阻碍合法的用户使用系统提供的服务，对关键性和实时性服务造成的影响最大。ＤｏＳ攻击与其他的攻击方式相比，其独特性在于ＤｏＳ利用系统向外提供的服务进行攻击Ｉ７１。 目前，研究人员已经达成共识，ＤｏＳ攻击已经成为Ｉｎｔｅｍｅｔ稳定运行的主要威胁【８】。一方面，目前已经出现了许多使用方便的ＤｏＳ攻击工具，这使发动攻击变得相当容易。另一方面，目前还没有有效的防范手段，也很难对攻击者进行追踪。因此，在可以预见的未来，ＤｏＳ／ＤＤｏＳ攻击将成为Ｉｎｔｅｒｎｅｔ中最主要的安全问题。 ＤｏＳ攻击基本过程如图２—１所示，攻击者利用ＴＣＰ建立连接的三次握手机制【９】，先向受害者发送大量带有虚假地址的请求，受害者发送回复信息后等待回传信息。由于是伪造地址，所以受害者一直等不到回传信息，分配给这次请求的资源就始终不被释放。当受害者等待一定时间后，连接会因超时被切断，此时攻击者会再度传送一批伪造地址的新请求，这样反复进行直至受害者资源被耗尽，最终导致受害者系统瘫痪。 臼受害者 图２．１ＤｏＳ攻击的基本过程 ＤＤｏＳ攻击是指采用分布、协作的大规模的ＤｏＳ攻击方式，联合或控制网络上能够发动攻击的若干主机同时发动攻击，制造巨大的数据流流入欲攻击的目 硕十学位论文第二章ＩＰ追踪技术研究与分析标，消耗网络带宽或者系统资源，致使目标主机的服务请求极度拥塞无法提供正常的网络服务。 ＤｏＳ／ＤＤｏＳ攻击过程一般包括以下几个步骤：准备阶段，构建攻击网，实施攻击。文献【１０］给出了构造一个ＤｏＳ／ＤＤｏＳ攻击网络的详细过程。相关研究表明：网络蠕虫的传播速度极快，几分钟内就能完成对Ｉｎｔｅｒｎｅｔ上所有易感染主机的入侵ｕ¨。因此近几年网络蠕虫病毒的肆虐大大加速了ＤｏＳ／ＤＤｏＳ攻击的准备过程。具体攻击过程可以参考文献【１０１，这里不再详细介绍。 ＤｏＳ攻击的特点决定了防御ＤｏＳ攻击是一件非常困难的事情，到目前为止还没有完善的防御措旌。如果从ＤｏＳ攻击的过程来分析，可以从几个方面来防范ＤｏＳ攻击：首先是在ＤｏＳ攻击发生时能够迅速进行攻击检测，其次是设法减轻ＤｏＳ攻击的危害，最后是在攻击过程中或者攻击结束后进行攻击源追踪和标识。这几方面必须协同工作才能取得最佳的防范效果。 １．ＤｏＳ攻击的检测技术也和其他攻击检测技术一样分为异常检澳Ｉ］（ＡｎｏｍａｌｙＤｅｔｅｃｔｉｏｎ）和误用检；！ｆ）！Ｏ（ＭｉｓｕｓｅＤｅｔｅｃｔｉｏｎ）【１２１。如Ｍｉｒｋｏｖｉｃ等提出的Ｄ．ＷＡＲＤｌｌ３Ｊ就是通过报文的不对称来检测攻击。何慧等【１４】提出基于相似度的检测方法。Ｃａｒｌ等１１５】对ＤｏＳ攻击的上述检测方法作了较详细的综述，这里就不再一一展开。 ２．减轻ＤｏＳ攻击危害的目的主要在于缓解ＤｏＳ攻击对受害者的影响，可以采取两种方法达到此目的。一是过滤攻击性数据流，二是增强受害者的容忍性。 （１）攻击过滤 攻击过滤是指在攻击发生时对攻击性流量进行过滤。Ｆｅｒｇｕｓｏｎ等提出的入口过滤ｆ１６ｌ（ＩｎｇｒｅｓｓＦｉｌｔｅｒｉｎｇ）以及Ｐａｒｋ和Ｌｅｅ提出的基于路Ｅｈ的包过滤策略ＲＤＰＦ［１７】（Ｒｏｕｔｅ．ｂａｓｅｄ 献。 （２）增强受害者的容忍性 这类方法的目的是增强受害者在受到攻击时的承受能力。这类方法是终端系统最广泛使用的方法。包括随机释放，ＳＹＮ Ｐｕｚｚｌｅｓ［１９１。ｃｏｏｋｉｅ，ＳＹＮＤｉｓｔｒｉｂｕｔｅｄＰａｃｋｅｔＦｉｌｔｅｒｉｎｇ）都属于攻击过滤策略，具体可参考上述文ｃａｃｈｅ［１８】，以及Ｃｌｉｅｎｔ 除了以上方法外，缩短ＴＣＰ握手的超时设置、增大ＴＣＰ的半开连接栈的大小等均属于增强容忍性的方法。资源的重新分配如负载均衡、使用热备份等也属于这一类方法。通过增强容忍性来对付ＤｏＳ攻击是非常局限的，因为资源有限，所以这种措施的效果也很有限。 ２．２ＩＰ追踪技术分析 ＩＰ追踪是指当ＤｏＳ／ＤＤｏＳ攻击发生时或攻击完成后，根据现有的信息识别６ 硕士学位论文第二章ＩＰ追踪技术研究与分析 ≮岁夕， Ｉ＜ｏ＼＿／Ｒ４ 捧 Ｓａｖａｇｅ掣２０１将ＩＰ追踪攻击路径定义为攻击者到受害者之间路由器的序列，７ 硕士学位论文第二章ｌＰ追踪技术研究与分析 图２—３按追踪时间的ｌＰ追踪技术分类 目自订比较常用的分类方法是根据ＩＰ追踪的主动程度进行分类，分为前摄追踪（ＰｒｏａｃｔｉｖｅＴｒａｃｉｎｇ）Ｓ１反应追踪（ＲｅａｃｔｉｖｅＴｒａｃｉｎｇ）【２２】。前摄追踪技术为了追踪ＩＰ源地址，需要在传输数据包时准备一些信息，并利用这些信息识别攻击源。前摄追踪方法将追踪信息记录到数据包中，受害者使用产生的追踪数据重建攻击路径，最终识别攻击者。前摄追踪包括日志记录、ＩＣＭＰ追踪和数据包标记；反应追踪是在检测到攻击之后，利用各种技术从攻击目标反向追踪到攻击的发起点，必须在攻击还在实施时完成，否则，一旦攻击停止，反应追踪技术就会失效１２引。输入调试（ＩｎｐｕｔＤｅｂｕｇｇｉｎｇ）和可控泛洪（ＣｏｎｔｒｏｌｌｅｄＦｌｏｏｄｉｎｇ）属于反应追踪措施。 １．链路测试 链路测试（ＬｉｎｋＴｅｓｔｉｎｇ）是一种手工追踪方法，其基本原理是一种逐跳（Ｈｏｐ．ｂｙ．Ｈｏｐ）追踪的思想。即从受害者开始通过各种链接测试方法找到攻击流经过的上游物理链接，并按照同样的方法逐级回溯，追踪攻击流经过的链路，以此达到攻击源追踪的目的。目前链接测试方法主要有两种：输入调试法（ＩｎｐｕｔＤｅｂｕｇｇｉｎｇ）和可控泛洪法（Ｃｏｎｔｒｏｌｌｅｄ （１）输入调试 目前许多路山器都支持输入调试１２引，其主要功能是可以判断某种特征的数据流是从路由器的哪个物理接口进入的。使用这种功能，管理员能实现手动的攻击源追踪。追踪过程为：首先，受害者对攻击进行检测并提取出攻击报文的特征：Ｆｌｏｏｄｉｎｇ）。 硕十学位论文、第二章ＩＰ追踪技术研究与分析然后，将这些特征提交给网络管理员。网络管理员在接收到追踪请求后，在受害者的上游路由器上安装输入调试器。输入调试器根据攻击特征可以判断攻击报文都经过哪些路由器并从哪些物理接口进入。根据调试结果，管理员能找到攻击报文经过的更上游的路由器，然后再在这些路由器上安装输入调试器，按照同样的方法逐跳回溯，直到找到攻击的来源或到达ＩＳＰ的边界为止【２０】。 输入调试法最直接的问题是管理丌销大。由于追踪过程需要网络管理员全程协助，所以追踪速度和准确性会受到管理员的经验、协调时间等诸多因素的影响。 （２）可控泛洪 Ｂｕｒｃｈ和Ｃｈｅｓｗｉｃｋ提出了一种可控泛洪法【２５，２６】，该方法需要受害者拥有一张预先准备好的网络拓扑图。根据这张拓扑图，受害者利用网络提供的ＵＤＰＣｈａｒｇｅｎ服务对其上游各条链路依次发送大量测试包，通过观察这些链路的速率变化和丢包情况判断攻击流经过哪些链路。 该方法最大的问题在于其本身实际上也是一种ＤｏＳ攻击，对网络会产生非常大的危害。并且，整个追踪过程对受害者的要求比较高，受害者不仅需要预备上游拓扑图，还需要有较丰富的经验能够做出准确的判断。因此，该追踪方法的准确率无法得到保证。另外，该方法只能追踪单个攻击源，而无法对具有多个攻击源的ＤＤｏＳ攻击进行追踪。 ２．数据包同志记录 数据包日志记录法通过将用户的网络行为信息以日志的形式记录在路由器或特定的日志数据库中，然后通过查询同志的方式获取追踪过程所需的信息。这些被记录的信息可以是经过路由器的数据包、数据包的摘要、流信息等。 Ｓａｇｅｒｌ２７１首先提出用路由器Ｆ１志的方法进行攻击源追踪。Ｓｎｏｅｒｅｎｌ２８】等对早期的同志法做出了改进，提出一种基于哈希（Ｈａｓｈ）的只记录报文摘要的源路径隔离引擎（ＳｏｕｒｃｅＰａｔｈＩｓｏｌａｔｉｏｎＥｎｇｉｎｅ。ＳＰＩＥ）。这一方法要求所有的路由器都保存其转发过的数据包的部分信息的摘要，这个摘要包含ＩＰ包头中的不变域（ＩＰ头中服务类型、ＴＴＬ、校验和、选项域为可变域，其余为不变域）和数据载倚中的前８字节数据。另外，该方案采用了一种称作ＢｌｏｏｍＦｉｌｔｅｒ的数据结构存储包摘要，而不需要存储包本身。这样一方面降低了存储需求，另一方面可以避免ＳＰＩＥ被用于窃听网络流量的内容。 具有ＳＰＩＥ能力的路由器维护保存最近转发的包流量的摘要的缓冲区。如果某个包被入侵检测系统（ＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＳｙｓｔｅｍ，ＩＤＳ）笋Ｉ｜断为具有危害性，那么ＩＤＳ将向ＳＰＩＥ发出查询请求，查询该包的摘要信息。查询的结果可以用模拟的反向路径泛洪算法来构造攻击源。在ＳＰＩＥ中，包审计，查询处理，攻击图生成都有不同的部分完成。９ 硕十学位论文第二章ＩＰ追踪技术研究与分析 ＳＰＩＥ系统的优点在于能够高速实现，并且占用的内存量小，可以用于路由器的高速接１：３。ＴａｔｓｕｙａＢａｂａ掣２９】也提出了～种和ＳＰＩＥ类似的ＩＰＴｒａｃｅｂａｃｋ方案，该方案直接保存包头部信息，而没有使用Ｈａｓｈ函数，因此该方案需要相当大的存储容量并且难以用于高速网络。 ３．层叠网络 Ｓｔｏｎｅ等人１２４］提出了一种新的追踪方案，称为ＣｅｎｔｅｒＴｒａｃｋ追踪方案。其中ＣｅｎｔｅｒＴｒａｃｋ是一个层叠网络，通过物理连接、ＩＰ隧道或者第二层虚拟连接方式与边界路由器相连。在ＣｅｎｔｅｒＴｒａｃｋ方案中，一些有可能是攻击性的的数据包由边界路由器直接转发到层叠网络（亦称为追踪网络，提供对数据包的追踪功能）中特殊的追踪路由器（ＴｒａｃｋｉｎｇＲｏｕｔｅｒ）。追踪网络或与之相连的嗅探器（Ｓｎｉｆｆｅｒ）根据数据包进入该网络的入口判断数据包的来自于哪个边界路由器。追踪网络上的数据包会经过再一次检查，然后根据检查结果决定丢弃该包或是将其转发到相应的出口。在数据包的终端，一旦发现有攻击在进行中，受害者或其代理可以通过追踪网络查到转发攻击数据包进入追踪网络的那个边界路由器。 此方法的优点在于，它不仅能追踪，还能通过丢弃攻击性数据包而起到防范攻击或者至少减轻攻击力度的作用。然而，这个方法在路由器被攻陷时会失去作用。如果攻击者控制了其边界路由器或与追踪网络连接的路由器，那么这些边界路由器可以不将攻击数据包路由到追踪网络，导致追踪失效。因此，除追踪网络外，边界路由器的安全性也是至关重要的，而要保证所有的边界路由器的安全在现在的网络实际情况下是很困难的。 此外，出于效率的缘故，追踪网络应该是轻量级的，而如果所有的ＴＣＰ的ＳＹＮ包、所有的ＵＤＰ包、一些类型的ＩＣＭＰ包等等都转发到追踪网络中，则追踪网络必定会过载，这是因为这些数据包都可能是攻击性数据包，而且这类数据包的量是很大的【３０Ｊ。 ４．基于ＩＣＭＰ的追踪 基于ＩＣＭＰ的追踪方法【３ｌ】主要通过路由器向受害者主动发送节点信息的方式为追踪提供信息来源，该方法的基本过程是：路由器以很低的概率（如１／２００００）对转发数据包进行随机采样，并产生一个特定的ＩＣＭＰ追踪消息（ＩＣＭＰＴｒａｃｅｂａｃｋＭｅｓｓａｇｅ，ｉＴｒａｃｅ），该消息包含采样包部分内容的拷贝和节点信息，然后路由器将该ｉＴｒａｃｅ消息发送到与采样包相同的目的地。在ＤＤｏＳ攻击下，受害者能接收到足够多ｉＴｒａｃｅ消息，然后根据这些消息重构攻击路径。 针对ＤＲＤｏＳ攻击的追踪，Ｂａｒｒｏｓｌ３２１对ｉＴｒａｃｅ进行了改进，路由器在向目的主机发送ＩＣＭＰＴｒａｃｅｂａｃｋ消息的同时也向源主机发送，该方案可解决这个问题。针对在某些ＤＤｏＳ攻击下受害者很难接收到有价值的ｉＴｒａｃｅ消息的问题，Ｍａｎｋｉｎ１０ 硕士学位论文第二章ｌＰ追踪技术研究与分析等【３３】提出一种“Ｉｎｔｅｎｔｉｏｎ—Ｄｒｉｖｅｎ”的改进方法，提高靠近攻击源的路由器产生ｉＴｒａｃｅ信息的概率。 基于ＩＣＭＰ的这种追踪方法曾经备受研究人员关注，ｌＥＴＦ曾一度成立专门的ｉＴｒａｃｅ工作组研究该方法１３们，并将该方法的草案提交申请成为ＲＦＣ 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。但该方法的几个缺陷使得这些努力未能成功。首先，由于某些攻击者往往利用ＩＣＭＰ控制报文达到攻击的目的，所以现在很多网络都对ＩＣＭＰ报文采取屏蔽的策略。这样用于追踪的ｉＴｒａｃｅ消息也很容易被过滤而不起作用。另外，ｉＴｒａｃｅ消息还会产生额外的网络开销，消息的安全认证也很困难。 ２．３数据包标记研究与分析 包标记方案【２０，３５～３８１是目前ＩＰ追踪技术中的研究热点，其最本质的思想是在数据包中找出一些未被使用的空间用于记录路由器的地址信息，数据包通过路由器时，路由器将其地址信息填入包中，从而使得受害者能通过这些信息获得从攻击者到受害者之间的路径信息，即攻击性数据包所经过的路径信息。攻击路径信息记录在ＩＰ包自身，从而不增加网络流量负担。 该方法的优点是网络负担不大，允许事后分析，大部分这类技术能有效应对ＤｏＳ攻击。缺点是部分技术需要修改协议，不能直接应用于ＩＰｖ６，与ＩＰｓｅｃ不兼容，对接收的攻击包有数量要求，存在攻击路径计算错误问题。 早在１９９９年，Ｂｕｒｃｈ和Ｃｈｅｗｉｓｋｌ２５Ｊ就提出了在数据包中标记路由器的地址信息，以便追踪泛洪型ＤｏＳ攻击来源的思想。数据包标记的最简单的实现是使用记录路由选项（在ＲＦＣ７９１［３９Ｊ中指定）在ＩＰ包头的选项字段中存储路由器地址。但是，这个方法增加了每个路由器分发的数据包长度，并且可能导致额外的分段。而且，攻击者可能试图用假数据来填充为路由保留的字段，从而逃避追踪。 目前，研究人员提出了许多包标记技术，其中概率包标记【２０ｌ（ＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔＭａｒｋｉｎｇ，ＰＰＭ）不论在路由器丌销，实现难易还是与ＩＰ协议的兼容性等方面都有突出的优势，是目前最有应用前景的技术之一，也是目前追踪技术中的研究热点。Ｓａｖａｇｅ等【２０】对ＩＰＴｒａｃｅｂａｃｋ技术做了详细和系统的研究，给出了一些基本结论和概率包标记方法，奠定了此项技术的基础。因为其后很多研究人员都是在这一基础上进行研究，因此文献［２０１中的方法也被称为基本包标记算法。２．３．１节点附加 为了追踪到数据包的来源，一个直观的想法就足让路由器将数据包的路由信息全部填入数据包中，如图２．４所示。 硕十学位论文第二章ＩＰ追踪技术研究与分析 由路由器Ａ ＩＰ包标记的ＩＰ包 攻击者路山器ＲＡ 图２－４节点附加示意图受害者 当受害者接收到这些包时，可以从中直接得到攻击路径信息。具体操作是当数据包通过路由器时，路由器将自己的ＩＰ地址追加到数据包中适当的位置。ＩＰｖ４有一个选项（ｏｐｔｉｏｎ）域，可以考虑把这些路由信息存入到这个域中。 节点附加法收敛很快，受害者只需收到一个攻击包就可重构出攻击路径。然而，对于一般的应用而言，由数据包的发送方到接收方之间的距离是未知的，因此在数据包中将会填入多少这样的路由信息也就是未知的，这可能会导致某些数据包在填入路由信息后长度超过路径的最大传输单元（ＭａｘｉｍｕｍＴｒａｎｓｍｉｓｓｉｏｎＵｎｉｔ，ＭＴＵ），从而需要分段，进而因分段导致性能损失或者影响到某些应用。例如，有的应用可能不允许分段，如路径的ＭＴＵ查询１４０Ｊ就是通过一些设置了“不允许分段”（ｄｏｎ’ｔｆｒａｇｍｅｎｔ）的不同大小的数据包，看看哪些能够顺利到达终点，以此测算路径ＭＴＵ的值。此外，在数据包的传送过程中对其ｏｐｔｉｏｎ域进行操作是很耗时的操作【４１１。因此，要在数据包中标记完整的路由信息是不太可行的。２．３．２节点采样 为了解决上节中提到的问题，Ｓａｖａｇｅ等【３７】提出了一种基于随机采样的概率包标记法。概率包标记（ＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔＭａｒｋｉｎｇ，ＰＰＭ）的思想是当数据包到达路由器时，以某种概率标记数据包的部分路径信息。这样虽然每个数据包只包括了路径的部分信息，但是当真正的攻击发生时往往会有大量的攻击数据包，这样受害者就可以得到足够的信息恢复出完整的攻击路径。 如果路由器以一定的概率将自己的ＩＰ地址填入到数据包的某个相应位置，则在泛洪型ＤｏＳ攻击时，只要受害者收到足够的数据包，就能获得攻击路径中所有路由器的地址信息。然而，由于受害者得到的地址都足孤立的单个地址，它们之间是无序的，受害者需要对这些地址排序以得到一个完整的路径信息。假设攻击路径中所有的路由器以概率Ｐ将自己的地址填入数据包中，先填入的信息可能被后续路山器覆盖。对于到达受害者的攻击性数据包，其包含攻击路径中离受害者距离ｄ的路山器信息的概率为ｐ（１－ｐ）ｄ。即，处于不同位置的路山器信息出现 硕十学位论文第二章ＩＰ追踪技术研究与分析在数据包中的概率是不同的，因此受害者可以根据所获ＩＰ地址的频率对这些路由器予以排序，根据每个节点的标记包数量，就可构造出攻击路径。 ２．３．３边采样及压缩边分片采样 除了需要３２比特的存储空间以外，节点采样法还有两点不足：一是在重构攻击路径时要根据标记信息出现的频率进行排序，只有当数据包很多时，这些信息出现的频率才能与其应出现的概率大致相当，于是必须大量包才能减少错误；二是如果有多个攻击者，那么根据概率来排序路径是非常困难的。因此，为了解决排序问题，需要一个域来存储该路由器到接收方的距离。为了解决分布式情况下攻击路径的区分问题，还需要路由器之问的连接信息以确定数据包在路由器之间的传送方向。 一个直观的解决方法是在数据包中对边进行标记而不是简单的标记节点。Ｓａｖａｇｅ等【２０，３７］提出了概率边标记法。为了标记边信息，需要在ＩＰ包头部增加两个静态的路由器ＩＰ地址域ｓｔａｒｔ域和ｅｎｄ域，以及一个ｄｉｓｔａｎｃｅ域，用于标识边的起始和结束地址、该边离受害者的距离。路由器以概率Ｐ对ＩＰ包进行标记，标记时，路由器将ＩＰ地址写入ｓｔａｒｔ域并把ｄｉｓｔａｎｃｅ域置０；如果ｄｉｓｔａｎｃｅ域已经为０，则说明该包己被上游路由器标记过，于是把自己的ＩＰ地址写入ｅｎｄ域，ｓｔａｒｔ域和ｅｎｄ域就形成了一条边；最后，若ｓｔａｒｔ域和ｅｎｄ域都己被赋值，那么路由器仅将ｄｉｓｔａｎｃｅ域加１，ｄｉｓｔａｎｃｅ域的值表示包从标记路由器到受害者所经过的跳数。受害者根据收到的标记包中的信息，通过ｄｉｓｔａｎｃｅ域排序将边信息匹配连接重构出攻击路径。 ａ圆路由器受罾看处的路径堕构 标记的数据ａｏｂ ｂ咖。圈ａ＠ｂ团、 ｃ圆。圆ｂ。ｃ圃／／’。｝：。函ｊ ｄ固。圈ｃ。ｄ。／／／｝。圆ｊ／ａ／ 圈ｄ曲，，甲～，Ｊ｝。圆Ｊ■／Ｃ／／’＼ 受害者ｄ盈豳一一一一７所７１Ｉ坐１ｑ一，一７’’路径重构 图２－５以异或形式表示边 这里，ｓｔａｒｔ域需要３２比特，ｅｎｄ域需要３２比特，而ｄｉｓｔａｎｔ域需要５比特．在Ｉｎｔｅｒｎｅｔ中，数据包所经过的路径一般不超过３０［４２１跳，用５比特就可以存放距离信息。因此总共需要６９比特存储标记信息，而ｏｐｔｉｏｎ域仅有１６比特，无法满 硕十学位论文第二章ＩＰ追踪技术研究与分析足需要。为了压缩标记信息，Ｓａｖａｇｅ等又提出了压缩边分片采样法，即采用组成一条边的两个节点ＩＰ的异或（边ＩＤ）来代替边，如图２。５所示。 将这个边ＩＤ进一步分为８比特的分片，使得一个数据包只携带一个分片以及距离和该分片在边ＩＤ中的偏移。这种方法对单一攻击者很有效。然而，当有多个攻击者协同攻击时，可能会有多个块具有同样的距离、同样的位置信息（偏移１，在组合过程中将会出现错误。 为了减少组合错误的发生，采用一个３２比特的Ｈａｓｈ作为校验码。综合起来，Ｓａｖａｇｅ等将ＩＰ与其３２比特的Ｈａｓｈ校验码以比特为单位间隔穿插得到６４比特。即，此６４比特的奇数位比特为ＩＰ，偶数位比特为校验码。然后将此６４比特分为８片，每片８比特，并将其分别编号为０、１、…、７（即偏移），如图２－６所示。 隧圈圆黝嘧豳避圈圈＼———————、／—————√地址Ｈａｓｈ校验码 匝团圜Ⅲ衄壅豳固皿圃 ＬＮ—几＿、厂—＾＿＿、厂＿Ａ—ｖ＿ＪＬＶ—＾＿一、ｒＡ—矿一人、厂－＿／ ０ｋ－！按ｂｉｔ穿捅 将ｋ个分片发送到网络中 图２—６ＩＰ地址与校验码按比特穿插然后分片 当标记路由信息时，将距离值、８个分片之－－（８比特）以及相应的偏移（３比特）嵌入到该包的标记域。为了在接收方能得到准确的距离信息，在标记时需将距离域置为０，如果相邻下游路由器不标记该包，则将距离增加ｌ，并把自己的与偏移对应的分片与包中的分片异或重新填入。加上距离域５比特，所以标记域一共需要５＋８＋３共１６比特的空间。图２—７为基本包标记中边信息的重组示意图。 ０Ｌ———Ｖ——Ｊ组合ｋ个分片 按ｂｉｔ分离 ／——————————／＼一、——————－、ｋ．１厂＿Ａ一／—＾一１．—Ａ一—Ａ一厂＇』一—Ａ一．ｒＪＬＶ＾、。 绝 地址 图２．７边信息的重组 １４ 硕十学位论文第二章ＩＰ追踪技术研究与分析 在ＩＰｖ４中，包头的识别号（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ，ＩＤ）域是在分段数据包的重组时用于识别同一个数据包的不同分段的。网络层的分段对于端端性能是有影响的，现在的网络应用一般都有自动ＭＴＵ协商的功能以防分段的发生，因此数据包的分段是很少发生的，从而ＩＤ域也很少使用，大约只有不到０．２５％的包受到分段处理，即只有０．２５％的数据包的ＩＤ域被使用。因此利用ＩＤ域不会影响到绝大多数的网络应用。Ｓａｖａｇｅ等人以数据包头的ＩＤ域作为标记域，如图２．８所示。 翌■批拦煎丁百 Ｅｄｇｅｆｒａｇｍｅｎｔ｝ＴｏｔａｌＬｅｎ‘，ｔｈＩＯｆｆｓ吼．Ｄｉｓｔａｎｃｅ １ 图２－８ＩＰ包头的ＩＤ域作为标记域 这个算法在ＤｏＳ攻击中的ＩＰ追踪方面是一个开创性的工作，为其后的研究工作奠定了坚实的基础，具有重要意义。目前该领域的研究工作基本上都是在这一研究的基础上展开，因此该算法也被称为基本包标记算法。当然，任何事情都不可能是一蹴而就的，基本包标记也存在许多问题。Ｐａｒｋ等人【３６】分析了基本包标记ＰＰＭ在攻击者伪造ＩＰ地址时追踪的不确定性。Ｓｏｎｇ等【３５】通过实验证实了基本包标记ＰＰＭ在进行攻击路径的重构时具有计算量大、误报率高等缺点。２．３．４高级包标记和认证包标记 使用基本包标记法，受害者重构攻击路径的计算开销很大，因为除了要实现宽度优先搜索，还要将ＩＰ字段的各分段按顺序重组；而且，当有多个攻击源同时发起攻击时，具有很高的误报比率，因此会导致重构出错误的结果。为了弥补基本包标记法的不足，Ｓｏｎｇ等人１３５Ｊ提出了高级包标记法和带认证的包标记方法。这两种方法与基本包标记一样利用ＩＰ包头中的ＩＤ域存放标记信息。 １．高级包标记法 在高级包标记中，路由器往数据包中标记的不是ＩＰ地址本身，而是ＩＰ地址的Ｈａｓｈ值。具体方法是：给定８个输出各为８比特的Ｈａｓｈ函数ｈｏ、ｈＩ、…、ｈ７，其编号为从０到７，当路由器标记一个数据包时，其将距离（初始值赋为Ｏ）、其ＩＰ地址的某个Ｈａｓｈ值ＭＩＰ）（从８个Ｈａｓｈ值中随机选取）以及对应的Ｈａｓｈ函数的 硕士学位论文第二章ＩＰ追踪技术研究与分析编号填入标记域中，当路由器不标记一个数据包时，其将距离域的值加１。在受害者处重构攻击图时，受害者先将得到的Ｈａｓｈ值按距离、Ｈａｓｈ函数的编号分成不同的集合，设为．义Ｚ硒，这里ｄ表示距离，ｋ表示Ｈａｓｈ函数的编号，ｋ＝０、ｌ、…、７。然后以受害者为攻击图的根，从距离ｄ＝０开始，对攻击图一Ｌ！ＩＩ受害者距离为ｄ的节点（当出Ｏ时，这样的节点只有受害者自身）的每个上游路由器尺，设其ＩＰ为ＩＰＲ，分别求ｈ，（如），如果对于所有的ｆ从０到７都有ｈｉ（ＩＰＲ）锹叠０，则将Ｒ计入攻击图中到受害者距离丹１处，并将Ｒ与到受害者方向的下游路由器的连接记入攻击图中作为距离受害者ｄ处的一条边（当ｄ＝０时，这个下游路由器指受害者自己，而记入攻击图的边就是Ｒ到受害者之间的连接）。对于ｄ＝０处理完以后，处理ｄ＝－Ｉ的情况，如此依次处理，直到ｄ达到可能的最大值而不能继续为止。 在高级包标记方案中，路由器往数据包标记的信息是路由器ＩＰ地址的Ｈａｓｈ值，而Ｈａｓｈ函数是单向的，这就使得受害者必须知道上游网络的拓扑信息。由于攻击者可能来自于Ｉｎｔｅｍｅｔ上的任何地方，这就意味着受害者几乎要预先知道整个Ｉｎｔｅｍｅｔ的拓扑信息，由于网络的拓扑结构不是一成不变的，网络处于不断地发展变化之中，因此，用户必须时刻拥有最新的拓扑信息。这个问题可过建立网络路由信息中心来解决。即由专用的拓扑信息服务器来存放和提供Ｉｎｔｅｍｅｔ的拓扑信息，当用户在进行ＤｏＳ攻击的追踪时，可从这种服务器获取所需的拓扑信息，而当Ｉｎｔｅｍｅｔ的某部分拓扑改变时，服务器中的信息也要得到及时的更新。 ２．认证包标记方法 认证包标记方案与高级包标记类似，不同的是路由器标记数据包时还要对标记的内容进行加密以达到认证的目的。采用认证，攻击者就不可能伪造更远的路由信息。由于公钥会带来太多的计算量而且需有相应的密钥管理措施，因此，用公钥的方式进行认证是不合适的。Ｓｏｎｇ建议采用按时问段公布的密钥。即将时间分成一定长度的时间段，路由器在不同的时间段使用不同的密钥，而这些密钥是在一定的时间延迟以后才公布以防止假冒。为了防止冒充，这个延迟必须大于因特网上的往返时间加上一个时间同步误差（ｄｉｓｐｅｒｓｉｏｎ）。为了减少公布的密钥数量，Ｓｏｎｇ建议采用Ｈａｓｈ的形式产生密钥，即路由器先取一个数Ａ，然后重复对其求Ｈａｓｈ得到ｈａｓｈ（Ａ）、ｈａｓｈ２（Ａ）、ｈａｓｈｊ翻）、…、ｈａｓｈ打阴），其最先使用的是ｈａｓｈ打阳夕，然后是ｈａｓｈ小７阳）、ｈａｓｈ肛２口，、ｈａｓｈ肛３阳，、…。当公布密钥时，其只需公稚当前需要公布的ｈａｓｌ矿（Ａ），而以自订使用的密钥ｈａｓｔｔｑ似，、ｈａｓｈ／嵋阳，…等均可由此推出。采用这种方法，攻击者不能仿冒其他路由器进行标记。 然而，这种认证方法在实际中有不少弊端。一方面，由于时问同步的刚难性，为了防止假冒，公布密钥的时间延迟需要较长。另一方面，这个延迟也延迟了追踪的实时性，同时也延迟了对攻击的响应。此外，因特网上的每一个路由器在每１６ 硕士学位论文第二章ｌＰ追踪技术研究与分析个时间段都要公布一次密钥，而这个接受密钥公布（路由器的公布）和密钥查询（追踪时受害者的查询）的地方不仅需要大量的存放空间，而且会因为大量的访问而拥塞。另外，该方案的可测量性也受到质疑‘４３１。 ２．３．５基于代数编码的包标记 该方法方法由ＤｒｅｗＤｅａｎｌ４４］等人在基本包标记的基础上提出，用于解决基本包标记的组合爆炸和误报率高的缺点。与基本包标记不同的，基于代数编码的包标记不是直接将ＩＰ地址的分片标记到数据包中，而是在数据包中以代数编码的方式标记路由器的地址信息。 Ｄｅａｎ等人将路由器ＩＰ地址分成３个长度１１比特的段，以相邻２个路由器的ＩＰ地址的共６个段作为多项式系数，这样只需１１比特存放计算得到的编码结果，３比特存放编码参数ｘ，另加１比特的标志位，总共需要１５比特的存储空间。Ｄｅａｎ采用ＩＰｖ４数据报头识别号域的后１４比特和３比特标志（Ｆｌａｇ）域中保留的第一个标志位。 这个方法的缺点之一是由于没有距离标识，在路径重构的过程中需要进行复杂的混合代数函数运算【４５］（ＭｉｘｅｄＡｌｇｅｂｒａｉＦｕｎｃｔｉｏｎｓ），并需借助已标记数据包出现的频率，因此，其路径重构的结果不是很可靠。 缺点之二是由于路由器标记的概率较小，攻击者可以进行ＧＯＳＳＩＢ］４ｌＪ攻击，例如伪造标记信息，陷害他人；或者在标记域中填塞任意数据，干扰路径重构。 缺点之三是重构攻击路径所需的数据包的数量较大，这将延迟受害者对攻击路径的重构，从而有可能延误受害者的其他防御措施，给受害者带来较大的损失。２．３．６动态概率包标记 文献【３８，４纠８１针对路由器的标记概率进行了研究，针对分片标记和高级包标记方案，提出了一些类似的改进方法。其主要思想都是利用ｌＰ包头中的ＴＴＬ值动态决定节点标记数据包的概率，使标记算法和重构算法得到更好的收敛性能。由于固定概率的包标记方案中，存在“最弱链”问题，导致受害者在路径重构时不能准确的定位攻击源，并造成收敛性能的严重下降。 在ＴａｏＰｅｎｇ等人１３８Ｊ提出的自适应的概率标汜方法（Ａｄｊｕｓｔｅｄ ＰａｃｋｅｔＰｒｏｂａｂｉｌｉｓｔｉｃＭａｒｋｉｎｇ，ＡＰＰＭ）中，路由器应当根据在攻击路径中所处的位置来调整其标记概率。然而，由于攻击者的位置是未知的，冈此路由器在攻击路径上所处的位置也是未知的。ＴａｏＰｅｎｇ等提出了三种不同的距离度量，如图２－９所示。为了获得距离值，作者提出在ＩＰ选项域中增加一个额外的域来记录包经过的路山器 硕士学位论文第二章ＩＰ追踪技术研究与分析数，而且为了防止攻击者伪造，还提出采用与带认证的包标记类似的方法，在一段时延后才公布密钥进行加密。 ④④④⑥ 西：攻击源到当前路由器的距离⑤ｏ 出：最近一次标记包的路由器到当前路由器的距离 以：当前路由器剑受害者的距离 图２－９三种不同的距离度量定义 然而，李德全【４９１等对该方法进行了详悉的数学分析，认为该方法实际不可行。首先，在包的传送过程中修改选项域是很费时的操作；其次，由于这个距离域需要被途中的每一个路由器读取、修改，因此这种认证只能发生在相邻的两个路由器之问，这也使得每个路由器都要对每个包作一次加密和解密操作，而加解密是计算量很大的工作；最重要是，为了对付伪造，用于认证的密钥必须在一段时延后才能公布，而路由器如果决定不标记一个包，它就必须要将距离增１，而距离域却是由上一级路由器加密了的，因此每个路由器必须要预先或者立即得到上一级路由器对该包所用的密钥，这是个无法解决的矛盾；最后，为了获知西，ＴａｏＰｅｎｇ等人提出利用路由协议，然而在大型网络环境下，这类协议在学习路由 为了确定路由器与受害者之间的距离，ＬｉａｎｇＦｅｎｇ等【４７Ｊ提出使用ＩＰ包头中及保持路由时将产生较大的流量，占用过多带宽，因此该方案实际是不可行的。的ＴＴＬ（Ｔｉｍｅ．Ｔｏ．Ｌｉｖｅ）值。在Ｉｎｔｅｍｅｔ中ＴＴＬ用于两个目的１５０，５ｌＪ，一是限制ＩＰ数据包的生存时间，二是防止Ｉｎｔｅｍｅｔ中出现路由环路。ＩＰ数据包的ＴＴＬ取值取决于系统及协议的实现，可能为３２、６４、１２８、２５５。研究表明，网络上一个数据包所经过的跳数很少超过２５跳，最多不超过３２跳。当一个ＩＰ数据包通过网络中的路由器时，每个路由器都会对ＴＴＬ进行减一操作，因此可以使用ＴＴＬ来记录数据包经过的路由器数目，以确定路由器在攻击路径上的位置。 ２．４各种ＩＰ追踪方案比较 ＶａｄｉｍＫｕｚｎｅｔｓｏｖ等人【５２１对几个ＩＰ方案进行了详细的理论分析与模拟实验，并对此进行了比较。他们指定了几个参数进行比较，以便找出在收敛时间以及计算代价上效率较高的方法。本文对文献【５２】的分析结果进行了总结，在ＶａｄｉｍＫｕｚｎｅｔｓｏｖ等人的基础上对目前的ＩＰ追踪方案进行了比较，得出比较结果如表 硕士学位论文第：二章ｌＰ追踪技术研究与分析 以上各种追踪方案各有优缺点，大都需要ＩＳＰ运营商的直接支持，有的需要完全掌握网络拓扑结构图。然而大多数的ＩＳＰ供应商都不愿透露其网络拓扑结构信息，所以在实际应用时遇到了很大的困难。另一方面，虽然ＩＣＭＰ追踪方案不需要事先知道网络拓扑结构，但是它会额外的增加网络负担；另外，ＩＣＭＰ追踪方案的收敛性较差。所以，现在大多数实用的ＩＰ源追踪方案都建立在数据包标记算法的基础之上。 ２．５本章小结 本章介绍了ＤＤｏＳ攻击的基本原理，对策，并对ＩＰ追踪技术进行了讨论。ＩＰ追踪是一种主动防御技术，快速准确地定位攻击源为实时阻断或隔离攻击提供了有利条件，能够提供法律举证，威慑攻击者，从源头开始防范ＤｏＳ攻击，从而提高网络的安全性。数据包标记是ＩＰ追踪中的研究热点，也是最具有应用价值的研究领域，这部分内容是本文的重点，因此本章对现有包标记技术进行了详细的讨论。１９ 硕士学位论文第三章弥补概率包标记 第三章弥补概率包标记 根据第二章的分析，现有的概率包标记方案都存在这样那样的问题。本章在对产生这些问题的原因进行理论分析的基础上，提出两个基于弥补机制的概率包标记方案，采取这样的方案收敛性比传统概率包标记方案更好。目的在于： １．收敛时间减小，受害者就能更快地重构出攻击路径，从而可以尽早地采取相应的措施以减少损失。 ２．降低路由器以及受害者在标记和路径重构时的计算负载。 ３．降低传统包标记中由于组合爆炸导致的高误报率。 基本包标记中，由于对数据包进行了分片，并且数据包除了标记路由器的ＩＰ地址外还需标记Ｈａｓｈ校验信息，因此需要８个数据包才能记录一条边的信息。这就造成了重构路径时需要大量的数据包。另外，对不同偏移的分片进行组合时，又需要进行大量的计算进行校验，这就造成了较差的收敛性，较高的计算负载以及误报。如果能够减少所需的数据包数和检验的组合数，就可以同时降低误报率以及计算量。另外高级包标记之所以比基本包标记具有更好的收敛性和误报，本质上是因为其使用了网络拓扑结构信息【”】。因此，新方案也使用了拓扑信息。３．１概率包标记算法分析 ３．１．１概率包标记算法评价指标 评价一个算法时，算法的时间和空间复杂度是必须要考虑的，除此之外，针对包标记算法的特点，算法需要多少个攻击包，算法的输出结果集和攻击者集合之问的关系也是必须要研究的。针对概率包标记算法，有四个评价指标。 １．收敛时间 收敛时间也称为收敛包数（本文会交替使用这两个概念），是指重构出追踪拓扑树所需的标记包的最少个数。对整个追踪拓扑树而言，其重构所需总的数据包的个数必然不会大于重构各个攻击路径所需数据包的个数总和。此值小说明算法的反应灵敏，收集路径信息的效率高，是决定算法收敛时间的主要因素之一。 ２．计算开销 主要指受害者从路径信息得到重构路径的计算复杂度，与信息的表示方式相关，是决定算法收敛时间的另一重要原因。路出器上的标记算法有路由器的标记计算代价，受害者处的重构算法有受害者处的重构计算代价。２０ 硕＋学位论文第三章弥补概率包标记 ３．健壮性 健壮性的定义首先有Ｓｏｎｇ和Ｐｅｒｒｉ９１３５１提出。他们引入了两个术语：误报（ｆａｌｓｅｐｏｓｉｔｉｖｅ）和漏报（ｆａｌｓｅｎｅｇａｔｉｖｅ）。误报是指一条路径并不是真正的攻击路径，但是在重构时，追踪算法重构出的攻击路径。漏报是指一条路径是真Ｊ下的攻击路径，但追踪算法并没有重构出这条攻击路径。 ４．其他代价 指实行算法带来的附加代价，主要指路由器的操作代价和附加的网络流量等。路由器代价包括算法要求的存储资源和计算资源等。 ３．１．２概率包标记算法分析 在上节中，我们提到了对包标记算法进行评价的几个指标，在这几个指标中，都有许多不同的问题需要解决。本节我们从这几个评价指标出发对包标记算法进行分析。 １．收敛性能分析与“最弱链”问题 （１）收敛性 为了尽可能快的重构攻击路径，受害者需要收到由攻击路径上的每个路由器所标记的包的一份采样。在ＤＤｏＳ攻击中，攻击者可能使用伪装包并限制攻击包的数量来隐藏自己。而另一方面，受害者可以选择一个合适的标记概率来精确定位攻击者。然而要确定一个比较合适的标记概率是非常困难的。考虑攻击路径仁（Ａ，Ｒｌ，Ｒ２，…，凡，Ｖ），其中Ａ为攻击者，Ｖ为受害者。Ｒ舡＝１，２，…，力表示攻击路径上的ｄ个路由器。 假设Ｐ，表示路由器月，的标记概率，定义路由器Ｒ，的剩余概率为一个包被路由器Ｒ，标记后不再被攻击路径上的后继路由器标记的概率【５３】，用口，表示。对于受害者Ｖ而言，％就是通过检查接收到的ＩＰ包，确定路由器Ｒ，是否在攻击路径上的概率。口．表示如下： 嘶：∥卜训竺ｄ 可得：ｐ，，在基本ＰＰＭ方法中，所有的路由器都采用固定的标记概率Ｐ，根据式（３．１） 口，＝ｐ０一ｐ）ｄ一１≤ｆ≤ｄ（３—２） 其中，一个数据包在攻击路径Ｐ上未被任何路由器标记的概率为％＝（１一ｐ）ｄ（３－３） 硕十学何论文第三章弥补概率包标记 如果受害者接收到的所有包都没有携带路由器Ｒ，的标记信息，则受害者是无法发现路由器＆在攻击路径上的。因此，为了重构攻击路径，受害者必须至少从攻击路径上的每一个路由器处接收到一个标记包，这个概率为： ｄｄ，ｄ－ｉ、 ∑％＝∑ｌｐ兀（１一ｐ）’ｌ＝ｌ一（１一ｐ）ｄ（３－４），ｚｌｉ＝ｌ＼Ｉ＝０， 假设攻击包数为Ⅳ，为了满足上述要求，必须有： Ｎａｌ＝ＮｐＯ—ｐ）“卅≥ｌ（３－５） 而关于受害者重构攻击路径需要接收到的ＩＰ包数量，需要先介绍一下ＣｏｕｐｏｎＣｏｌｌｅｃｔｉｏｎ问题【５４１。 从ｎ个元素的集合Ｓ＝｛ｌ，２，…，门）中，随机、等概、可重复地抽取刀次，将刀个元素都至少取出一次需要取的期望次数是，？ｌｎ（以）＋Ｄ（刀）次。 如果某次取出的元素在以前从没取出过，则认为这次“取＂是成功的。很显然，我们需要行次成功的“取”。我们将这ｎ次成功的“取”作为分界点，将这之间的取的次数定义为Ｘ，（江１，２，…，ｎ）。则总的取次数为 Ｘ＝∑置 容易得Ｘ．取成功的概率是：（３－６） 仍＝—— Ｚ服从以Ｂ为参数的几何分布。这样：即一ｆ＋１（３—７） Ｅ（ｚ）＝一１ 只（３—８） Ｅ（ｘ）＝杰ｔ＝ｌＥ（ｚ）＝喜ｉ备＝刀喜｛＝＂ｌｎ（甩）＋。（＂）（３－９） 根据ＣｏｕｐｏｎＣｏｌｌｅｃｔｉｏｎ问题，受害者ｙ要收集到所有ｄ个路由器的不同的标记包的期望为ｄ（１ｎｄ＋Ｄ（１））。则受害者ｙ重构攻击路径所需要的数据包的数量Ⅳ，由于算法采用了分片，假设分为ｋ片，有 ｐ嘲即，≤料ｓ器 ２２当ｐ（１一ｐ）扣１取最大值，Ｅ（Ｎ）取最４、值时，对ｐ（１一ｐ）扣１求导，昙［Ｐ（１一ｐ）扣１］＝ｏ，可得ｐ＝ｌ／ｄ。因此取固定概率ｐ＝ｌ／ｄ时所需数据包最少： 硕十学位论文第三章弥补概率包标记 印）＜荷ｄＬｐⅢｄ／ 图３．１显示了％关于标记概率Ｐ和距离ｄ的函数值【５３１。从图中可以看到，当Ｐ＝１／ｄ时，ｑ取得最大值，Ｓａｖａｇｅ等采用ｄ＝２５即ｐ＝Ｏ．０４的标记概率，实验证明这是最优的标记概率‘２０１。然而，对于受害者ｖ而言，攻击者与其之间的路由器的数Ｆｔ通常是未知的，因此事先确定一个最优的标记概率是很难做到的。 矿 图３－１０［１关于标记概率Ｐ和距离ｄ的取值函数 （２）“最弱链”问题 根据ＰＰＭ的特性，一个ＩＰ包被路由器足标记后，还可能被后继路由器重新标记，即足的标记信息将被覆盖。因此，存在这样一种现象，ｔＺｄ≥仅小，≥…≥眈≥ａ，，即路由器离受害者越近，受害者接收到该路由器的标记信息的概率就越高，反之则越低。也就是说，在攻击路径Ｐ上，路由器兄具有最小的概率将其标记信息传递给受害者，而路由器Ｒ，概率最高。对于离攻击者最近的边，ＩＰ包携带该边信息的概率是最小的，因此，这条边就被称为“最弱链”【２０１。如果能够增加远离受害者的路由器的标记概率ＰＪ，那么重构攻击路径所需的包数就将减少，收敛时间就将下降。 根据 公式 小学单位换算公式大全免费下载公式下载行测公式大全下载excel公式下载逻辑回归公式下载 （３．３），为了防止攻击者使用伪造的ＩＰ包欺骗受害者，我们希望在增加Ｅ的同时尽量减小％。如果算法能够改写所有被攻击者伪装了的数据包，那么就能防止攻击者使用伪装的标记域来欺骗受害者。然而Ｐ的增大会导致吼的减小，而为了解决“最弱链”问题，我们又希望％最大，因此我们需要一个合适的标记概率Ｐ，使得６９０＝（１一ｐ）“最小，而ｑ＝ｐ（１一ｐ）扣１最大。 表３—１为不同的Ｐ取值情况下，％和ＯＹ，的取值（攻击路径长度ｄ＝ｌＯ）。２３ 硕十学位论文第三章弥补概率包标记 表３．１取不同标记概率ｐ值时，绚和ａｌ的值 图３—２说明了选择不同的标记概率的关系。根据ＣｏｕｐｏｎＣｏｌｌｅｃｔｉｏｎ问题，如果能够使路由器的剩余概率口，趋于相等且等于最初的标记概率Ｐ，即 ％＝％一ｌ＝…＝口２＝ｑ＝Ｐ＝１／ｄ 则收敛时间将达到最优情况。 Ｏ（３・１２） 基本ＰＰＭ Ｉ ｑ２ｉ【１一了Ｊｒ．Ｉ丫想情况：口，＝１／ｄ …弋”７—ｄ．１ｎ丁（ａ）：ｄ抽（印ｄ．！ ｄ ，但由于同时减小了 敛时间增大 图３－２不同标记概率Ｐ的选择 ２．算法健壮性 （１）攻击源不确定性 在包标记方案中，存在不确定性，这种性质是由标记域被攻击者伪装了的伪装包引起的【３６１。如图３．３所示： 宅二，璺≯＠一－－－一９占＃＝＝一一。 ④ ④ ⑦２４ 硕十学位论文第三章弥补概率包标记 当存在攻击路径卢（～Ｒｌ，Ｒ２，．．．，心，Ｖ）时，攻击者可以伪造∽，觇…．，‰所转发并标记的数据包。这些数据包如果未被沿途的路由器Ｒ１，Ｒ２…．，＆所标记，就会给Ｖ重构攻击路径以虚假信息，使得ｙ生成错误的攻击路径。ＰａｒｋＬｅｅ等【３６Ｊ对这种不确定性问题进行了详细的讨论，并给出了一个定量分析的指标ｒｎ，在给定的标记概率为Ｐ的情况下，最大的不确定性因素为ｍ＝（１一Ｐ）ＩＰ，当Ｐ一０时，ｍ专ｏＯ；而Ｐ专００时，ｍ专０。由此可见，攻击源的不确定性同样跟转发数据包的结点标记概率的选取有极大的关系。 （２）计算量及误报 在基本ＰＰＭ中，每个包都包含１６比特的标记域。每个路由器的ＩＰ地址都编码为８个１ｌ比特的分片（３比特偏移和８比特分片）。每个数据包都以某个概率包含了标记路由器的８个地址分片其中之一。假设距离为ｄ，分片偏移为厂的边分片的集合为％，ｏ对于每个距离ｄ，在８个集合屹Ｄ，％，…．，％７中，受害者并不能区分哪些分片来自同一个路由器，为了重构攻击路径，受害者需要考虑８个集合％Ｄ，％Ｊ…．，％７的所有可能的已排序的组合，并且检查哪些地址组合与Ｈａｓｈ值相同。假设所需组合的边数为么ｄ， 以２１ｌ％，／ ｆ＝ｏ三（３—１３） 在ＤＤｏＳ攻击发生时，彳ｄ将非常大。因此当出现多个攻击者时，基本ＰＰＭ存在下面两个问题： １）较高的计算开销 假设在攻击路径中，距离为ｄ处的不同的路由器数为＆，那么为了重构出距离丹１处的路由器，受害者必须将彳舟ｌ中的每个元素Ｘ与＆中的每个元素Ｙ进行异或，计算ｚ＝ｘｏｙ，并且检查ｚ是否正确。假设异或结果的集合为ｒ舟１，那么需要检查的组合数为： ｒ“＝晶以×＝ ＋＆×，兀间％＋，０∞ 因此，对于所有距离，所需检查的总的组合数为： ｍａｘ（ｄ），， ｄ２０＼７、／ｆ＝∑｜岛－ｌ×兀％＋ｌ，／ｌ（３－１５）／＝ｏ 因此需要至少一次Ｈａｓｈ计算来检查一个组合，可见计算量是相当大的。２）较高的误报 由于Ｈａｓｈ值为３２比特，因此，如果集合ｒ中的某个异或值ｚ不在攻击路径上时，ｚ足一个合法ＩＰ的概率为１／２３２。因此ｒ中元素是合法ＩＰ的期望为 硕＋学位论文第三章弥补概率包标记 ∥＝Ｆ／２３２（３－１６） 由于ＩＰ地址为３２比特，因此误报率为： Ｅ＝１一（１＿ｌ／２３２）∥１．２３２ 可见当攻击者超过２５个时，算法存在很高的误报。（３—１７） ３．２ＩＰ数据包头编码方案 根据前面的分析，减少受害者需要进行检验的组和数就能减少算法的计算开销和误报率。如果一个数据包就能传送一个路由器的全部信息，就不需要进行组合。由于追踪是个局部的、递归的过程，没有边的信息或者其他的环境信息，无法唯一的确定一个路由器。因此只使用一个数据包就传送一个路由器的全部信息而无连接信息足不行的，为了减少组合错误的产生，同时防止攻击者对标记域的伪造，对路由器的ＩＰ地址用～个全局唯一的、输出为３２比特Ｈａｓｈ函数对ＩＰ地址进行编码。将结果分成两个分片，分别用两个数据包携带，在标记分片的同时，将其对应的偏移（ｏｆｆｓｅｔ）也标记到ＩＰ包的头部，编码方案如图３－４所示。 Ｖｅｒ 戳：－＋ “ｊ一？ｊ？ｊＩＨＬ１１ＴＯＳ一…‰毒ＴｏｔａｌＬｅｎｇｔｈＩｄｅｎｔｉｆｉｃａｔｉｏｎ。、、，∞。 Ｐｒｏｔｏｃｏｌ ＳｏｕｒｃｅＩＰｊ卜＇ｏｆｆＩＳｅｔ篆。ＴＴＬ～ｌ；Ｈｅａｄｅｒ’Ｃｈｅｃｋｓｕｍ ａｄｄｒｅｓｓ ａｄｄｔｅｓｓ ｔＤｅｓｔｉｎａｔｉｏｎＩＰ 图３－４ＩＰ包头编码方案 在ＩＰ包头中，有许多未使用的域【５１１，本文的标记方案利用这些未使用域来记录路由信息。其中服务类型（ＴｙｐｅＯｆＳｅｒｖｉｃｅ，ＴＯＳ）域为８位，ＴＯＳ域的最后ｌ位未使用，我们使用这一位来表示该数据包是否已经被标记，记为ＭＦ域，０为未标记，ｌ为已标记。Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ域为１６位，我们将３２比特的路由器ＩＰ地址划分为两个分片，每个分片１６比特，刚好可以放入Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ域中，记为［ｒａｇ。ＩＰ包头的Ｆｌａｇ域长度为３位，其中第１位没有使用，我们考虑使用这一位来记录ＩＰ地址分片的偏移ｌ”Ｊ，记为ＲＦ域。由于本文提出的方案中路由器的ＩＰ地址编码分为两个分片，因此１比特即可标识偏移值。我们使用０表示ｌＰ地址编码２６ 硕十学位论文第三章弥补概率包标记的低１６位分片，ｌ表示高１６位分片。 目前许多的包标记方法中，ＩＰ包头都有一个ｄｉｓｔａｎｃｅ域，用来表示标记数据包的路由器与受害者之间的距离。根据２．３节的分析，我们知道，当数据包经过路由器时，路由器会对其转发数据包的ｍ值进行减ｌ操作，这样就可以记录数据包经过的路由器数目，因此使用ｍ代替ｄｉｓｔａｎｃｅ域。 使用以上标记方案，不但节省了更多的ＩＰ包头空间以存储边的信息，同时与现有的协议兼容性很好，因为本文的标记方案使用的均为现有协议未使用的位，减少了与现有协议的冲突。另外，这样的标记方案也降低了路由器计算开销。３．３非强制性弥补概率标记 ３．３．１算法描述 在现有包标记方案中、当路由器依据概率Ｐ对数据包进行标记时，无论上游路由器是否已经对数据包进行过标记，都会对数据包进行重新标记。数据包所携带的上游路由器的边信息将因为被覆盖而丢失，这直接导致了路由器的剩余概率沿攻击路径不断减小的问题，而这就是“最弱链”问题的根源所在。 为了解决“最弱链”问题，本文提出了非强制性弥补概率包标记方案（Ｎｏｎ．ＣｏｍｐｕｌｓｏｒｙＲｅｐａｒａｂｌｅＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔＭａｒｋｉｎｇ，ｎＣＲ．ＰＰＭ），以增大远离受害者的路由器的剩余概率。研究表明，在ＤＤｏＳ攻击中，超过９０％的攻击者每秒至少发送１０００个数据包，并且大部分攻击都会持续至少１０分钟。而在包标记方案中通常都选择一个较小的，固定的概率Ｐ来标记数据包（一般为ｐ＝０．０４）。因此，在ＰＰＭ中，存在大量的未标记包。在本文提出的方案中，使用这些未标记包，以到达增大远离受害者的路由器的剩余概率的目的。 在ｎＣＲ—ＰＰＭ中，路由器Ｒｉ维护一个计数器。当接收到一个数据包时，Ｒ，获取一个随机数Ｘ，如果ｘ＜ｐ，则表示选择标记该数据包，那么在标记数据包之前，首先检查该数据包是否被标记过。如果数据包已经被标记，则对计数器进行累加操作，而不是立刻强制标记该数据包。定义三元组职Ｗ．ｆｒａｇ，Ｗ．ｏｆｆｓｅｔ，Ｗ．ＴＴＬ）表示路由器Ｒ，产生的标记信息。在对包进行标记时，将ＩＰ地址的Ｈａｓｈ值分为两个分片，随机选择一片写入Ｗ．ｆｒａｇ，ｏｆｆｓ记录该分片对应的偏移值。同时，根据选择的是高１６比特还是低１６比特，将该分片对应的偏移值ｏｆｆｓ写入Ｗ．ｏｆｆｓｅｔ域中。标记时，使用形中的信息写入ＩＰ包头对应的域中。根据最近的研究，网络上一个数据包所经过的跳数很少超过２５跳，最多不超过３２跳。冈此，在ｍ域中写入６４，相当于其他方案在ｄｉｓｔａｎｃｅ域中写入０。 算法的伪码描述如图３．５所示：２７ 硕十学位论文第二章弥补概率包标记 ｆｏｒｅａｃｈｉｎｃｏｍｉｎｇｐａｃｋｅｔＭ ｌｅｔ∥ｂｅｔｕｐｌｅｓｆＩＥ．ｆｒａｇ，Ｗ．ｏｆｆｓｅｔ，Ｗ．ＴＴＬ） ｌｅｔｘｂｅａｒａｎｄｏｍｎｕｍｂｅｒ ａｉｎ［Ｏ，１）ｉｎ［０，１）ｌｅｔ够ｂｅ ｌｅｔＣｂｅａｒａｎｄｏｍｎｕｍｂｅｒｃｏｕｎｔｅｒｉｎＲ， ｉｆ（ｏｔｉＳ＜＝０．５）ｔｈｅｎ｛ Ｖ旷．ｆｒａｇ：＝ｌｏｗ Ｗ．ｏｆｆｓｅｔ：２Ｏ： ） ｅｌｓｅ｛ Ｗ．ｆｒａｇ：＝ｈｉｇｈ ∥ｏｆｆｓｅｔ：２１； ）１６ｂｉｔｓｆｒａｇｍｅｎｔ１６ｂｉｔｓｆｒａｇｍｅｎｔｏｆｈａｓｈ（Ｒ‘）；ｏｆｈａｓｈ（Ｒ）； Ｆ形玎己：＝６４： ｉｆｘ＜ｐｔｈｅｎ｛ ｉｆＭ．ＭＦ＝Ｉｔｈｅｎ｛ Ｃ：＝Ｃ＋１ ） ｉｆＭ．ＭＦ＝Ｏｔｈｅｎ｛ Ｍ．ｍａｒｋｉｎｇ－ｆｉｅＭ：＝雕Ｉ，Ｅ．ｆｒａｇ，Ｗ．ｏｆｆｓｅｔ，Ｗ．ＴＴＬ） ） ）／幸ｅｎｄ ｅｌｓｅ｛ｉｆｘ＜ｐ宰／ ｉｆＭ．ＭＦ＝０ａｎｄ Ｃ：＝Ｃ－１；Ｃ！＝Ｏｔｈｅｎ｛Ｍ．ｍａｒｋｉｎｇ－ｆｉｅＭ：＝瞰玎夕ａｇ，Ｗ．ｏｆｆｓｅｔ，彤卯ｚ）； ） ）／牛ｅｎｄｅｌｓｅ书／ ｉｆＭ．ＭＦ＝ＩａｎｄＭ．ＴＴＬ＝６３ｔｈｅｎ｛ Ｍ．ＲＦ厂：＝ｔｈｅｆｒａｇｍｅｎｔｏｆＲ，ａｔｏｆｆｓｅｔ Ｍ．ＲＦ：＝１４（ｆｒａｇｏＭ．ＲＦ ）／幸ｅｎｄ ｅｌｓｅ｛ 、ｔＭ。ＭＦ＝０ａｎｄＭ．ＴＴＬ＝６４ｔｈｅｎｉｆ奉／ Ｍ．ＭＦ：＝１； ｝／宰ｅｎｄｅｌｓｅ幸／ 图３－５ｎＣＲ—ＰＰＭ算法伪码描述 如果路由器检查到该数据包是未标记数据包，则根据计数器的值对其进行标记。如果计数值不为０，则使用前面的标记方法对包进行标记，同时对计数器进行递减操作。通过检测ＭＦ域和ｍ域可以确定是否为上游相邻路由器刚标记的包。如果数据包刚被上游相邻路由器标记过，则选取偏移值与尺Ｆ域相同的ＩＰ２８ 硕士学位论文第三章弥补概率包标记地址Ｈａｓｈ分片Ｗｆｒａｇ，与包中的Ｍ．ｆｒａｇ域进行异或，再覆盖写入包中。被标记过的数据包的Ｍ．ｆｒａｇ域中保存的值为相邻路由器的ＩＰ地址Ｈａｓｈ在相同偏移值处的分片的异或值，除非标记该包的路由器就是受害者的相邻路由器。当路由器对数据包进行转发时，会自动对数据包的ｍ进行减ｌ操作。在算法中，使用ｍ的这一特性代替了其他方案中对ｄｉｓｔａｎｃｅ域进行加１的操作。 ３．３．２算法分析 在ｎＣＲ—ＰＰＭ方法中，使用了大量的未标记包，以弥补远离受害者的路由器由于强制重标记而导致的剩余概率的损失，目的是使路由器的剩余概率％＝Ｐ＝１／ｄ，以达到理想的收敛情况。 图３－６说明了从路由器Ｒｌ到Ｒ３的标记过程，以及使用未标记包进行概率弥补的过程。 图３－６ｎＣＲ—ＰＰＭ从路由器Ｒｌ到Ｒ３的标记过程示意图 如图所示路由器Ｒｌ以概率Ｐ选择对包进行标记，随后标记包到达路由器Ｒ２，若在路由器Ｒ２处取得的Ｘ值小于Ｐ，Ｒ２检查数据包，发现刚被上游相邻路由器标记，Ｒ２增加计数器的值，并将自己相应的ＩＰ地址分片与数据包的Ｍ．ｆｒａｇ域中的值异或，然后填入Ｍ．ｆｒａｇ域。这罩Ｒ２并不强制标记该数据包。当Ｒ２接收到一个未标记数据包时，由于计数器的值不为０，说明之前有数据包末被强制标记，因此将自己的ＩＰ地址分片标记到此数据包中，同时对计数器进行减一操作。２９ 硕士学位论文第三章弥补概率包标记 下面对算法进行数学分析。 １．设以，表示一个数据包被路由器弓标记后到达岛的后继路由器＆的概率，这旱ｉ＞ｊ。则有 岷ｔ≤ａｊ≤ｐＱ．ｉｓ） 根据算法的非强制特性，每一个被路由器Ｒ，标记的数据包都将到达其下游路由器，并且其标记信息在途中不会被任何路由器改变，因此可得玩ｒ≤口＿，匈。由于其他算法的强制性标记而导致的路由器剩余概率的损失，可以通过使用大量的未标记数据包来弥补。如果未标记数据包的数量大于剩余概率的损失量，那么就可以使得以＿ｆ＝口刀。 ２．设凰表示路由器Ｒ，转发的包是未标记包的概率，有 ％≥（１一ｆ－ｐ）ｆ≥ｌ 证明：（３—１９） 瞄的一般形式为： 置＝Ｅ－１．（１－ｐ）一Ｉ∑一，，ｌ・Ｐ 路由器中Ｒ，的剩余概率ａ，的损失量。因为有以，≤ｐ，所以可得：（３－２０）在公式（３．２０）ｑｕ，第一项表示一个数据包是未标汜包的概率，第二项表示在 一＝［一一。・ｃｔ—ｐ，一（善竹，，］・ｐ］ ≥Ｈｉ一。・（１－ｐ）－（ｉ－１）・Ｐ２ 下面证Ｎ（３．２１）式： 当ｉ＝１时，Ｈ１＝ｌ－ｐ。 当卢２时，Ｈ２＞一（１－ｐ）（１＿ｐ）＿ｐ２。 假设当ｉ＝ｎ时，Ｉ－Ｉ．≥（１－力ｐ）为真，则（３—２１） 以＋，＝［峨・ｃ－一ｐ，一（喜以，肿。］・ｐ］ ≥以・（１一ｐ）－ｎ・Ｐ２ ≥１一《玎＋１）Ｐ 因此，对于所有的ｉ，当ｆ≥１时，有置≥（１．ｉ－ｐ）。 公式（３－１９）说明凰为单调递减的，当ｊ＞ｉ时，有凰＞局。如果从攻击者到受害者的距离为ｍａｘ（ｉ）Ｎｂ，并且设ｐ＝１／ｍａｘ（ｉ），那么当，≥Ｉ时，可得到％≥ｏ。这（３．２２）一结果说明，末标记包数量总是大于或者等于标记概率所损失的量的。因此可以得到，对于所有／，当ｆ习时，竹．『－ａＦ－ｐ。３０ 硕士学位论文第三章弥补概率包标记 研究表明，网络上一个数据包所经过的跳数很少超过２５跳，最多不超过３２跳。因此，假设旷ｌ／３１，那么对于ｉ和／，当ｆ巧时，有ｔ／，／＞ｏ，心ｆ＿口舟。盹ｖ印说明由任意一个路由器所标记的包都将到达受害者，并且标记信息在途中不会被更改。 对于计数器的大小，目前，大部分系统的整型变量都是四个字节，即３２位。对于无符号整型变量而言，计数器能够保存２３２个无符号整数。 设路由器Ｒ，中需要弥补的概率为以，就是（３—２０）式中的第二项，即路由器中Ｒ，的剩余概率％的减少量。 色＝Ｉ∑竹，。ｌ・Ｐ＝（刀一１）・Ｐ２（３—２３）另外，根据前面的分析我们知道，在概率包标记方案中，攻击包的总数Ⅳ的期望值为Ｅ（Ⅳ）≤孑苷≥等去。那么在每个路由器Ｒｔ中，计数器最多必须累计晰瓯他棚器，（ｄ－１）ｐ２个包。 在ｎＣＲ．ＰＰＭ中，由于我们将ｌＰ地址分为２片，即ｋ＝－２，我们保守假设ｄ＝－３２，标记概率Ｐ使用基本包标记方案中的值０．０４。那么在最坏情况下，计数器的平均大小为４０。因此四字节的计数器足够记录ＤＤｏＳ攻击中的标记包数。 在这个方案中，我们使用非强制策略对包进行标记，弥补了远离受害者的路由器由于覆盖重标记而导致的剩余概率的损失。使得每个标记包到达受害者的概率都等于其最初的标记概率，因此得到了理想的收敛性能。 ３．４基于记录的弥补概率标记 在上一节中，我们提出了一种非强制性方案，达到了弥补剩余概率的目的。然而，ｎＣＲ—ＰＰＭ存在一个缺陷，如果攻击者知道这一方案，就可以事先简单地在攻击包中随机嵌入伪装信息，导致路由器认为没有未标记包而使这种机制实效。因此，我们提出了另外一种更好的方案，基于记录的弥补概率包标记（Ｒｅｃｏｒｄ－ＢａｓｅｄＲｅｐａｒａｂｌｅＰｒｏｂａｂｉｌｉｓｔｉｃＰａｃｋｅｔＭａｒｋｉｎｇ，ＲＢＲ—ＰＰＭ）。在该方案中，当数据包被路山器重新标记时，路山器剩余概率的损失也能够被完全弥补。３．４．１算法描述在ＲＢＲ—ＰＰＭ中，每个路由器保存一张记录表丁，表中的每一个条目ｅ的格 硕十学何论文第二章弥补概率包标记式为（ｅ．ｆｒａｇ，Ｐ．ｏｆｆｓｅｔ，ｅ．ｍ，Ｐ．ｃｏｕｎｔｅｒ），被覆盖的信息。 算法的伪码描述如图３．７所示：用来记录已标记的数据包因为重新标记而 图３—７ＲＢＲ—ＰＰＭ算法伪码描述３２ 硕士学位论文第三章弥补概率包标记 表丁中条目ｅ的每一个字段作用如下，ｅ．ｆｒａｇ保存被标记数据包的／：ｒａｇ域；Ｐ．ｏｆｆｓｅｔ保存被标记数据包的ＲＦ域，即该包中记载的边信息分片所对应的偏移值；ｅ．ｍ记录了包的ＴＴＬ域的值，相当于数据包从源标记路由器到该路由器的距离值；Ｐ．ｃｏｕｎｔｅｒ为计数器，用于记录被重新标记的数据包的数量。 当接收到一个数据包时，路由器在０到１之间取一个随机数ｘ，如果ｘ＜ｐ，则表示选择标记该数据包。在标记数据包之前，首先检查该数据包是否被标记过。如果数据包已经被标记，则将该数据包的标记域与记录表中的每一个条目进行对比。当有相同条目时，说明已经重标记过相同距离的数据包，则对该条目的ｃｏｕｎｔｅｒ域加１。如果没有相同条目，说明在这一距离上还没有数据包被重新标记，则在记录表中插入一个新条目。在记录下标记信息之后，对数据包进行重新标记。 如果ｘ≥ｐ，则表示路由器选择不标记数据包。这时，如果数据包是未标记数据包，并且记录表非空，那么就使用记录表中记录的信息对数据包进行标记。使用轮询算法，从记录表中选择一条记录，使用该记录的信息标记数据包，同时对该条记录的计数器进行递减操作。随后，通过检测Ｍ．ＭＦ域和Ｍ贶域可以确定是否为上游相邻路由器刚标记的包。如果数据包刚被上游相邻路由器标记过，则选取偏移值与Ｍ．ＲＦ域相同的ＩＰ地址Ｈａｓｈ分片，与包中的Ｍ．ｆｒａｇ域进行异或，再覆盖写入包中，其他操作ｎＣＲ．ＰＰＭ算法相同。 ３．４．２算法分析 图３．８为ＲＢＲ．ＰＰＭ算法中从路由器Ｒｌ到Ｒ３的标记过程。与ｎＣＲ—ＰＰＭ相同，在ＲＢＲ．ＰＰＭ中，也使用了未标记包来弥补远离受害者的路由器由于强制重标记而导致的剩余概率的损失，目的是使这些路由器的剩余概率口，＝Ｐ＝１／ｄ，以达到理想的收敛情况。 从图中可以看到，与ｎＣＲ—ＰＰＭ不同，在ＲＢＲ—ＰＰＭ中，当路由器Ｒ，决定对一个包进行标记时，如果该包是已标记数据包，则将该包的标记信息记录到记录表中。然后对包进行重新标记。而被覆盖的原标记信息则用随后到来的未标记包来携带。 例如，一个数据包被路由器Ｒｌ标记，随后到达路由器Ｒ２，这时Ｒ２选择对数据包进行标记。与ｎＣＲ．ＰＰＭ不同，Ｒ２将数据包中的标记信息记录下来，然后用自己的信息对包进行标记。当一个未标记包到达时，如果Ｒ２仍然选择不对其进行标记，那么Ｒ２将用之前记录下来的Ｒｌ的标记信息对该包进行标记，同时将自己作为边的ｅｎｄ端记录到包中，这样Ｒ１所损失的剩余概率就能够被弥补回来。 硕士学位论文第三章弥补概率包标记 图３－８ＲＢＲ－ＰＰＭ从路由器Ｒｌ到Ｒ３的标记过程示意图 下面对算法进行数学分析： １．假设国ｍ表示数据包被路由器Ｒｆ标记，在路由器Ｒ川处被重标记且被弥补的概率，这里，≥１。则 ４“，＝Ｐ２ 证明如下：（３－２４） 首先，证明ｆ＇ｌ时，ａ“。＝Ｐ２。 当ｌ＝１时，乏．Ｉ＝Ｐ・Ｐ＝Ｐ２。 当卢２时，嗔，ｌ＝ｐ０－ｐ）ｐ＋８２，１．Ｐ＝Ｐ２。 当ｌ＝ｎ时，其一般形式为： ｎ－Ｉ ４＋¨＝ｐ・（１－ｐ）”１・夕＋∑匹＋川（１－ｐ）”吖一・Ｐ（３－２５） ｊ＝ｌ （３－２５）式中，第一项表示一个数据包被路由器ＲＩ标记，随后经过路由器Ｒ２…站，然后被路由器Ｒ肿ｌ重新标记的概率。第二项表示一个数据包被路由器Ｒｌ标记，在路由器弓处被重新标记并且原ＲＪ的标记信息被记录下来（即弥补），然后经过路由器ｅ．ｊ＋２…Ｒ，，的转发，在心＋ｌ处被重新标记的概率，这里／的取值为从１到／＇／一ｌ。 假设磊帆。＝Ｐ２为真，则当ｌ＝ｒｔ＋ｌ时，有３４ 硕士学位论文第二章弥补概率包标记 ‰叩（１。ｐ）”计【－弘ｎ－！川（１＿ｐ）”７叫‰’ｐｊ ＝（１－ｐ）・巧帆．＋ｐ２・Ｐ＝Ｐ２ 所以，当ｉ＝１，且ｄ≥１时，有磊砒ｌ＝Ｐ２。（３－２６） 假设当ｉ＝ｋ，且，≥ｌ时，有瞑碱女＝Ｐ２，那么当卢斛ｌ，且卢ｌ时，哦＋ｌ＋ｌ“ｌ＝Ｐ・Ｐ为真。当卢胁ｌ，且ｌ＝ｎ时，假设皖＋ｌ＋础＋ｌ＝Ｐ２为真 瓯＋。＋。，。＋。＝ｐ・（１－ｐ）”１・ｐ＋∑皖＋。＋』，。＋。（１一ｐ）”产１・Ｐ（３－２７） 』＝ｌ 那么，当ｌ＝ｎ＋ｌ时，有 ８ｋ＋ｌ＋ｎ＋ｌ，ｋ＋ｌ一－Ｊｆ，’（１——ｐ）”’ｚ，＋∑Ｊ＝ｌ６。＋，＋／，Ｉ＋・（１一ｐ）”一７‘ｐ （３．２８） ＝（１一ｐ）瓯＋ｌ＋咄＋ｌ＋瓯＋ｌ＋础＋１．Ｐ＝Ｐ２ 因此，当ｆ≥１且，≥１时，有谚“，＝Ｐ２。即一个数据包被路由器Ｒ，标记，在路由器ＲⅢ处被重新标记并且被弥补的概率为Ｐ２，也就是其最初的标记概率的平方，这罩，≥１。 ２．设反为在路由器Ｒ，中要弥补的概率，则 ４＝（ｆ一１）ｐ２ 这里： ｉ－１（３－２９） 谚＝∑巧，Ｊ＝（，一１）ｐ２ Ｊ＝ｌ（３－３０） 这一性质说明，在任何一个路由器都会以概率Ｐ２重新标记并弥补在任意一个上游路由器中标记的数据包。 ３．设／．ｔＭ，表示一个数据包被路由器Ｒｆ标记，并且到达Ｒ，的后继路由器Ｒｆ＋，的概率，这里ｉ＞ｙ。则有∥，＋ｔｆ７，即一个数据包被路由器Ｒ，标记，并且到达Ｒ，的后继路由器Ｒ『＋，的概率等于Ｒ，最初标记该数据包的概率。 证明如下： ／．ｔＭｆ的一般形式为： 鸬＋ｆ＇，＝ｐ・（１一ｐ）卜１＋∑巧＋川（１一ｐ）卜。～（３．３１） 式（３—３１）００，第一项为数据包被路由器Ｒ标记，然后通过路由器Ｒ，＋Ｉ－－－Ｒ小。的概率。同时，第二项为数据包被路由器Ｒ标记，但在Ｒ＋，中被重新标汜和弥补；然后这个弥补包通过Ｒｉ：．－ｊ＋１．．．ＲＭｌ转发的概率之和。对于ｉ＝１， 硕士学位论文第三章弥补概率包标记 “＋ｊ＇ｌ＝ｐ．（１一ｐ）卜１＋∑Ｉ－－Ｉ瓯，，１（１一ｐ）卜¨（３－３２） 当ｌ＝１时，有∥２。ｌ叫。 当１＝２时，乜，ｌ＝ｐ（１－ｐ）＋Ｓｚ，ｌ＝Ｐ。设ｌ＝ｎ时（３—２８）为真，即： Ｈ＋¨＝ｐ・（１－ｐ）”。＋∑４＋川（１一ｐ）”广１＝Ｐ（３－３３） 当／＝ｎ＋ｌ时，有 声白＋。＋，。ｔ２２；，。（１－ｐ）”一ｌ—ｒ［薯ｚｉ＋，，，（・——夕）”一／＋磊＋。，ｔ］ ＝（１一ｐ）“＋¨＋磊＋州＝Ｐ（３．３４） 与１中一样，容易证明当ｆ≥ｌ且，≥１时，有∥ｆ＋￡ｆ印。 所以，当冠≥０时，在任意一个路由器中标记的所有数据包都将到达该路由器所有的下游路由器，包括受害者。 ４．设Ｈ表示路由器Ｒ，转发的包是未标记包的概率，则有／－Ｉ，＝１＿ｉ・Ｐ 证明如下： Ｈ的一般形式为： ｑ＝Ｈｉ—ｌ（１－ｐ）－４（３—３５） 上式中，第一项表示由路由器Ｒ¨转发的数据包是未标记包，并且不会被路由器Ｒ，转发的概率。第二项表示在路由器Ｒ，中需要弥补的概率。 当卢１时，Ｈ１＝ｌ—Ｐ。 当ｉ＝２时，Ｈ：＝Ｈ。（１一ｐ）一皖＝（１－ｐ）（１一ｐ）－Ｐ２＝１－２ｐ。 设ｉ＝ｎ时，有巩＝１＿玎・Ｐ 则当ｉ＝ｎ＋ｌ时， 峨¨＝Ｈ。（１一ｐ）－８．＋，＝（１一印）（１一ｐ）一印２＝ｌ一（刀＋１）ｐ 所以，当ｆ≥１时，１４．＝１一ｆ・Ｐ成立。（３—３６） Ｈ是单调递减的，当ｆ勺时，有／４，＞／－／：。如果Ｐ＝１／ｍａｘ（／），则当ｆ≥１时，总有％≥０。这就意味着，在任意一个路由器中，由重标记导致的剩余概率损失总能得到弥补。 ３．５路径重构方法 当受害者收集到足够的被标记的数据包后，就可以使用从数据包中提取的标记域信息重构攻击路径。本文提出两种包标记方法都使用相同的路径罩构算法。３６ 硕士学位论文第二章弥补概率包标记 在高级包标记方法中，重构路径时使用了网络拓扑信息【３引。受害者维护一张上游路由器的拓扑图Ｇ搠。从离受害者最近的路由器开始进行宽度优先搜索。把ｄｉｓｔａｎｃｅ域值为ｄ，偏移为厂的分片组成集合％ｐ当ｄ为０时受害者枚举Ｇ所中离它一跳远的所有路由器，检查谁的ＩＰ经过办，（Ｒ，）运算后在集合％厂中。把这些ＩＰ组成集合岛。岛是攻击路径上离受害者最近的路由器的集合，则＆是攻击路径上离受害者ｄ跳的路由器的集合。对屹“，．中的每条边值Ｘ，ｓａ中的每个元素Ｙ，受害者计算ｚ＝ｘｏ红（Ｙ）。受害者然后检查Ｙ的相邻路由器中是否有谁的ＩＰ地址的Ｈａｓｈ值厅，佛，）等于ｚ。如果找到氏，则把Ｒ”加到集合．Ｓ“，中去。重复这样做直到ｄ达到ｄｉｓｔａｎｃｅ域的最大值。 在我们的路径重构算法中，同样使用了网络拓扑信息来验证ＩＰ的方法。与高级包标记法相似，受害者维护一张上游路由器的拓扑图Ｇ用。Ｇｍ为有向无环图，受害者为Ｇ。的根节点。另外受害者与路由器一样，需要维护表丁，丁的格式与路由器中的记录表丁相同。 路径重构算法如图３－９所示： 图３－９路径重构算法伪码描述图 路径重构时，选取２个ｍ值相同但ｏｆｆｓｅｔ值不同的分片进行组合，将ｈａｓｈ（Ｒｉ）按其相应的偏移组合，然后通过网络拓扑信息米验证得到ＩＰ。对距离为ｄ处的ＩＰ地址进行Ｈａｓｈ验证，若得到的ＩＰ合法，则记录下来，否则进行下一个碎片组３７ 硕＋学位论文第二章弥补概率包标记合。由于ａ＠ｂ＠ａ＝ｂ，因此可以从距离受害者１跳的路由器开始，也就是６５一Ｍｍ等于１，逐步将受害者的上游路由器计算出来，直到第一个路由器为止。 虽然目前的网络拓扑相对而言是比较稳定的，一般不会变化，但网络拓扑的改变会对路径重构算法造成较大的影响，导致较高的误报率。这一问题可以通过使用专用的拓扑信息服务器来存放和提供网络的拓扑信息”６１，服务器的拓扑信息可以定期更新。当受害者在进行追踪时，可以从服务器获取所需的拓扑信息，而当网络中的某个部分拓扑改变时，服务器中的信息也要得到及时的更新。３．６实验与分析 为了测试弥补概率包标记算法的性能，我们使用了网络仿真工具进行了模拟实验。在仿真工具上实现算法，进行仿真测试并对算法性能进行评估。 本文使用的网络仿真工具为ＮＳ２２．２８，实验环境：ＣＰＵ为ＡＭＤＡｔｈｌｏｎ６４３０００＋，１．５Ｇ内存，操作系统为Ｆｅｄｏｒａ 使用朗讯贝尔实验室的ＩｎｔｅｒｎｅｔＣｏｒｅ５。为了模拟近似真实的网络环境，ＭａｐｐｉｎｇＰｒｏｊｅｃｔ数据库１５。７１。该数据库事实上是运行ｔｒａｃｅｒｏｕｔｅ对分布在整个互联网的ＩＰ地址进行路由追踪的结果。本文采用２００６年６月１３Ｒ的数据库，该数据库约有１３８２７０个节点，路径约４５１２１条。使用该数据库路由追踪源点作为受害者节点。路径中的其他内部节点作为受害节点的上游路由器节点。数据集作为受害者上游网络拓扑结构信息瓯。 为了便于实现ＰＰＭ方法，对ＮＳ２的ＩＰ包头进行修改，在ｉｐ．ｈ文件的结构ｈｄｒｉｐ中添加一个ｉｎｔ类型的字段ｐｐｍｆ，利用该字段填写标记信息，其中低１６位用于标记ＩＰ地址分片；第１７位用于记录地址分片偏移ＲＦ域第１８位用于记录该ＩＰ包是否被标记即ＭＦ域。标记时从低位向高位标记，其余位补０。 使用ＮＳ２的默认地址格式，每个节点使用一个３２位的整型量ｎｏｄｅ—ｉｄ来标识自己，并且ＮＳ２也默认使用该值作为节点地址。 在ＮＳ２的Ｏｔｃｌ层为攻击节点绑定Ａｇｅｎｔ／ＵＤＰ，使用Ａｐｐｌｉｃａｔｉｏｎ／Ｔｒａｆｆｉｃ／ＣＢＲ对象生成流量，根据ＤＤｏＳ攻击节点攻击流量速率和攻击持续时间的特点【５引，为每个攻击节点的ＣＢＲ选择１００包／ｓ的速率发送攻击流量。 在Ｃ＋＋层的Ｃｌａｓｓｉｆｉｅｒ类中添加保护成员ＰＰＭｓｃｈｅｍｅ，表示所使用的标记方法。添加保护成员ＣｏｍｐｕｔｅＧｒａｎ，用于指定计算粒度，即受害节点每收到指定数量的数据包之后，进行一次路径重构算法。本文指定计算粒度为１００，即每收到１００个数据包就进行一次路径重构算法，直到重构出攻击路径为止。 使用ＮＳ２的ＭａｎｎｕａｌＲｏｕｔｉｎｇ策略手工指定节点转发路由取代默认的ＳｔａｔｉｃＲｏｕｔｉｎｇ策略；指定模拟丌始时间和结束时间。 硕十学位论文第三章弥补概率包标记３．６．１收敛性能 对于收敛性能而言，我们关心的是当攻击者位于与受害者不同距离处时，受害者重构攻击路径所需的数据包数量。为测试收敛性能，从Ｇ。中选取单个攻击者的一条路径，路径长度ｄ的取值从ｌ到３０。在基本ＰＰＭ及目前的同类算法中，路由器的标记概率设置为ｐ＝０．０４，并且文献【２０】中证明这是最优的标记概率。另外为了更全面的比较算法的收敛性能，研究人员通常还采用矿Ｏ．Ｏｌ进行比较。因此，我们将标记概率分别设置为旷０．０４以及旷Ｏ．Ｏｌ。对每个ｄ值重复进行１０次实验取平均值，ｐ＝０．０４时所得结果如图３一ｌＯ所示。 我们比较了基本包标记ＰＰＭ，高级包标记ＡＭＳ（ｍ＞５，聊＞６）以及我们提出的ｎＣＲ．ＰＰＭ和ＲＢＲ—ＰＰＭ方法。图中ｍ表示高级包标记中确定一条边ＩＤ所需不同Ｈａｓｈ值的数据包数目。可以看到当标记概率Ｐ设置为０．０４时，基本包标记需要最多的标记包来重构攻击路径，在攻击路径为３０跳时，甚至达到了４０００多个数据包。高级包标ｉｉ２（ｍ＞５，朋＞６）次之，在路径为３０跳时，分别需要２０００多个数据包和１５００个左右的数据包。而本文提出的两种方法在收敛性上比前两种方法都有了较大改善。最多时，重构路径所需的数据包在５００个左右。 ４５００ ４０００ 删酮５００ ０００ ５００ ０００燕回榷逛聪 篷 霎 删５０００００ ５００ Ｏ ０５１０１５２０２５３０ 路径长度ｄ 图３－１０旷Ｏ．０４时路径重构所需包数量 当标记概率Ｐ设置为Ｏ．０１时，所得结果如图３－１１所示。从图中可以看出，当标记概率Ｐ设为０．０１，攻击路径为３０时，基本包标记的重构路径所需包数量已经达到了８０００个左右，这一数字已经无法忍受，造成相当长的收敛时问，而高级包标记已经有较大改善。我们提出的两种方案达到了较理想的水平。然而也可以看出概率包标记的收敛性能与标记概率的选择有着很大的关系。３９ 硕十学位论文第三章弥补概率包标记 皿嘲 颡 皿 榧 篷 妲 密 霎 １｜Ⅲ｝ｌ ∞％踟加印∞如∞加∞∞∞∞∞∞ 路径长度ｄ 图３—１ｌｐ＝Ｏ．Ｏｌ时重构路径所需包数量 基本包标记中，路由器的标记信息被分成ｋ个分片，需要ｋ个数据包才能传送一个完整的标记信息。设路由器以概率Ｐ标记数据包，当重构长度为ｄ的路径时，根据３．１节的分析可知，所需的数据包的数量的期望值为Ｅ（Ⅳ）≤孑等等，这里ｋ＝８，ｐ＝Ｏ．０４。在本文提出的两种方案中，路由器的标记信息被分为２个分片，分别由２个数据包携带，即ｋ＝２。因此只需要２个数据包就能组合出一条完整的边信息。这里将ｎＣＲ—ＰＰＭ和ＲＢＲ．ＰＰＭ统称为ＮＰＰＭ（ＮｅｗＰＰＭ），因此有：监≤蜞≤！２Ｉｎ（２ｄ） Ｅ（Ｎ）ｅｅＭ一』地（８粤）＿一４ ｐＯ—ｐ）扣１（３－３７）Ｖ～’ 从公式（３．３７）可得，本文提出的两种标记方案中，重构路径所需的包数不到基本包标记的１／４。 在基本包标记中，出于存在“最弱链”问题，导致了弱收敛性。随着攻击路径变长，远离受害者的路由器的剩余概率大幅损失，重构所需的包数也随之大幅增加。本文提出的方案中，使用了大量未标记数据包，用于弥补剩余概率口。的损失。增大了远离受害者的路由器所标记的数据包到达受害者的概率，使得口。＝Ｐ＝１／ｄ，使算法的收敛性达到了理想状况。 通过实验发现，除了各个算法中的标记概率、攻击路径推测算法、标记算法等影响反向追踪的性能外，网络流量分布、网络问协作模式、路由器处理开销和ＤＤｏＳ自动响应等因素也影响ＰＰＭ算法的执行效果。 硕＋学位论文第三章弥补概率包标记３．６．２计算负载 路径重构时，由于使用了分片，因此会有大量的碎片组合运算。根据３．３节 ７ 的分析可知，基本包标记方案中碎片组合次数为以＝兀％，，，当Ｗｄｄ的数目不 ｆ＝Ｏ 太大时，组和数彳ｄ按‰的指数级增长，这时，运算量自然也随％按指数级增长。而随着％达到一定规模，如％户２５，其运算量就已经超出了实用的范吲３卯。而在本文提出的方案中，由于标记信息分为２片，因此碎片组合次数为 ２ 以＝兀％，，，大大减少了碎片组合次数。同时由于对标记概率进行了弥补，使 ｆ＝ｏ—－’ 得重构路径所需的包数减少，因此也减少了重构路径时的计算负载。 ３．６．３误报数． 为了比较重构路径的准确性，我们对基本包标记，高级包标记以及本文提出的两种方案，所得结果如图３．１２所示 籁 辎 隧 Ｏ２５０５００７５０１０００１２５０１５００１７５０２０００ 攻击路径数 图３．１２误报数比较 根据３．３节的分析可知，ＰＰＭ方案误报的期望为Ｅ＝１一（１一ｌ／２３２）∥）・２３２。从图中可以看到，ＰＰＭ的误报是令人无法忍受的。误报随着攻击路径的增加而成指数级增长。随ｎ达到一定的规模，其误报率就已经超出了实用的范围。在高级包标记方案中，当攻击路径增大到一定的数量时，由于Ｈａｓｈ冲突，致使误报数呈现出急剧增加的趋势。在本文提出的方案中，将标记信息分为２片，因此分片４ｌ 硕士学位论文第三章弥补概率包标记 ２ 组和数为以＝兀％，，，大大减小了组合次数。在对包进行标记之前，先对ＩＰ地 ，＝Ｏ 址进行Ｈａｓｈ编码，在路径重构时，将分片重组以后对其进行验证，将这样就大大减小了错误组合的比率。由于同时采用了Ｈａｓｈ和拓扑信息进行验证，因此误报率比基本包标记好。 然而，从图３．１２中可以看出，任意两个分片的ＩＰ地址编码组合存在冲突的概率仍然较大，虽然比高级包标记（聊＞５）已有较大改善，但当攻击路径达到２０００时，误报仍然达到了５００个左右。因此当攻击路径增大时，路径重构的准确率还有待提高，算法需要在收敛性与误报率之间作出权衡。 ３．７本章小结 本章在对ＰＰＭ方法进行理论分析的基础上提出了两种新的包标记方法，非强制性弥补概率标记以及基于记录的弥补概率标记。这两种方案都使用了概率标记中大量未标记数据包，从两个方面对由于重新标记造成的路由器的剩余概率的损失进行了弥补，使得收敛性、误报数和计算负载都达到了比较理想的水平。理论分析和实验结果表明，新方案可以使重构路径所需的数据包数更少，同时降低了重构攻击路径时的计算负载，误报数也显著降低。４２ 硕士学位论文第四章基于信任关系的路由器接口ＩＤ标记 第四章基于信任关系的路由器接口ＩＤ标记 目前所有的包标记方案都足将路由器的ＩＰ地址以及其他一些信息分成多个分片，将每一个分片标记到一个数据包中。大部分方案在标记过程中还使用了Ｈａｓｈ函数。由于在ＩＰ包头中没有足够的空间来记录所有的追踪信息，因此必须进行以上操作。另外，在路径重构过程中，较高的计算负载也限制了能够追踪到的攻击源的数量。随着攻击者数量的增加，计算复杂性也随之迅速增长。 我们提出了一种新的基于信任关系的弥补概率路由器接口ＩＤ标记方法ＴＲＩＭ，根据两个路由器之间事先指定的信任关系，使用路由器的接口ＩＤ对包进行标记。在标记时，将路由器的接口信息写入ＩＰ包中。ＴＲＩＭ避免了目前其他方法所存在的问题，达到了非常理想的收敛性以及较低的误报率。 ４．１路由器接口ＩＤ标记方案 为了解决传统包标记方案存在的问题，ＲｕｉｌｉａｎｇＣｈｅｎｌ５９Ｊ等提出了基于路由器接口ＩＤ的标－ｉＥ（ＲｏｕｔｅｒＩｎｔｅｒｆａｃｅＭａｒｋｉｎｇ，ＲＩＭ），其基本思想是在ＩＰ包头中标记路由器的接口号，而不是标记路由器的ＩＰ地址。通过攻击路径上每个路由器的接口序列，就能唯一的表示一条攻击路径。 图缸ｌ是一个典型的商用路由器的结构【６０１。 ｄａｔａｌｉｎｋ １ｔｅｒｍ“ｉｎｎｃａｔｉｏｎ卜—Ｈ卜●ｐｒｏｃｅｓｓｉｎｇ ｌＩ（ｐｒｏｔｏｃｏｌ， ｄｅｃａｐｓｕｌａｔｉｏｎ）一撼ｇ卜 一一，，——————■母玎珧 十玎斗ＩＩｎｐｕｔＰｏｒｔ／／７ＯｕｔｐｕｔＰｏｒｔ■删吲Ｓｗｉｔｃｈｉｎｇ Ｆａｂｆｉｅ ＯｕｔｐｕｔＰｏｒｔＩｎｐｕｔＰｏｒｔ 斗酬吲 ｌ Ｒｏｕｔｉｎｇ Ｐｒｏｃｅｓｓｏｒ 图４－１商用路由器结构 从图４一ｌ中Ｉ】丁以看出路由器具有多个输入接口和输出接口，输入接门和输出４３ 硕士学位论文第四章基丁信任关系的路由器接口ＩＤ标记接口通过交换模块连接。根据网络流量的方向，接口既可以是输入接口也可以是输出接口。处理器计算转发表，以控制交换模块。对于大多数路由器而言，输入接口都会保存一份转发表的拷贝，以便以分布式的方式完成大部分包处理工作，而不是将这种处理集中到路由处理器中。路由器的任何一个接口都是双向的，即任何一个接口既是输出接口也是输入接口。路由器为每个接口分配一个编号，并且将包转发到特定的接口编号上。接口号是事先分配的，并且是本地唯一的。本地唯一是指仅在单个路由器中是唯一的。 Ｖ 图４－２受害者Ｖ的上游路由器拓扑图 ＲＩＭ的基本设想非常简单，使用一个由本地唯一的路由器输入接口ＩＤ序列来表示一条攻击路径。图４—２表示了受害者Ｖ的上游路由器拓扑。图中Ａｌ，Ａ２，Ａ３同时连接到路由器Ｒ１７，链路上的数字代表输入接口的接口号。假设Ａ３到受害者Ｖ的路径为仁（Ｒ１７，Ｒ９，Ｒ４，Ｒ１），那么接口号序列为２１，２３４，４７，１１８（从受害者Ｖ开始），这条路径就能够唯一标识攻击者Ａ３和它的攻击路径。因此受害者Ｖ就能够使用这一信息追踪到攻击者。 在ＲＩＭ方案中，路由器事先为每个物理接口随机分配一个本地唯一的接口ＩＤ（ＩｎｔｅｒｆａｃｅＩＤ，ｌｉＤ）。传统的包标记方案郜足使用ＩＰ地址来唯一的标识一条攻击 硕十学位论文第四章基丁信任关系的路由器接口ｌＤ标记路径，而ⅪＭ则使用本地唯一的路由器输入接口ＩＤ序列来唯一地标识一条攻击路径。本地唯一指的是在同～个路由器中，ｌｉＤ是唯一的，但不同的路由器可能具有相同的ｌｉＤ。 当受害者接受到一个数据包时，可以从数据包的标记域中读取标记信息。通过数据包所记录的路由器标记信息，受害者就可以重构出沿攻击路径的路由器接口ｌＤ序列。通过查询上游路由器拓扑图，或者通过发送查询数据包到每个路由器就可以将接口ｌＤ转换成所对应的路由器ＩＰ地址，以此重构出攻击路径。４．２基于信任关系的路由器接口ＩＤ标记 在ｍＭ方案中，使用６比特表示接Ｅｌ数，最多只能支持２６＝６４个接Ｅｌ。在朗讯贝尔实验室的ＩｎｔｅｒｎｅｔＭａｐｐｉｎｇＰｒｏｊｅｃｔ数据库【５７Ｊ中对１３８２７０个路由器进行了跟踪，研究表明，路由器的平均度数和最大度数分别为６．３４和１０７１（度数表示路由器的活跃接口数）。而目前，常用的商用路由器接口数早已超过这一数目。例如，目前高端的核心路由器，Ｃｉｓｃｏ公司的１２８１６，支持的接口数远多于６４个…。另外，由于基数很小，当路由器的活动接口数量较大时，ⅪＭ将产生很多的冲突，可见对Ｍ的适用性也很低。 另外，对于ＩＰ地址欺骗攻击（ＩＰＳｐｏｏｆｉｎｇａｔｔａｃｋ）以及路由器被攻陷导致的路由器在标记时不诚实的问题，现有的标记方法也没有很好的解决方案，也就是说存在较高的攻击源不确定性。到目前为止，仍然没有一种追踪方案在整个Ｉｎｌｅｍｅｔ内部署。这是因为不同的局部网络（Ｏｎ域或ＩＳＰ）之间标准难于统一，网络可管理性差，同时存在各种利益关系。因此域问的ＩＰ追踪仍然是一个难以解决的问题。由于利益的驱使，局部网络的管理员可能会在其边界路由器上动手脚，以便从自己的域向另外的域内发起攻击。 为了解决以上问题，我们在ＲＩＭ方案的基础上提出了一种基于信任关系的追踪方案（ＴＲＩＭ），较好的解决了以上提出的问题。 ４．２．１ＩＰ数据包头编码方案 ＩＰ包头编码如图４—３所示。为了支持更多的接口数，进一步降低对ＩＰ包头空间的占用；同时，在路由器活跃接口数较少时，减少冲突，降低误报，提高重构路径的准确度，我们使用８比特表示路由器的接口。即算法所能支持的路由器接口数最多达到２８＝２５６个，这已经足够支持Ｆ１前大部分商用路由器，包括运营商级核心路由器。当路由器活跃接口数较少时，以２５６为基数，随机地在０～２５５之间选择接口ＩＤ，也能够降低算法的误报，提高重构路径的准确度。４５ 硕ｊ卜学位论文第四章基丁信任关系的路由器接口ＩＤ标记 Ｖ｜ｅｒ 镕餐ｊ”ｌＨＬＴｏＳ。３｜ｊＴｂｔａＩＬｅｎｇｔｈ ０ “Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ４＇’：■Ｉ ＇ｏｆ传ｅｔ 瓤，ｊＴＴＬ。一。Ｐｒｏｔｏｃｏｌｊ ｌＨｅａｄｅｒＣｈｅｃｋｓｕｍ ＳｏｕｒｃｅＩＰａｄｄｒｅｓｓ ～ ＤｅｓｔｉｎａｔｉｏｎＩＰａｄ２｜ｌｒｅｓｓ ８ｂｉｔ８ｂｉｔ１ｂｉｔ 图４—３ＴＲＩＭ的ＩＰ包头编码方案 我们使用８比特记录路由器的接口号，即ＩＩＤ域。接口ＩＤ除了需要本地唯一以外，还应该随机分配，以减小冲突，降低误报率。与第三章的思想一样，使用ＴＴＬ域的自减特性代臂对ｄｉｓｔａｎｃｅ域的递增操作，用于记录跳数信息；ＸＯＲ域为８比特，用于记录ＩＩＤ异或值；ｌｉＤ域为５比特用于记录接口ＩＤ；ＲＦ域为ｌ比特，用于记录ｌＩＤ分片偏移；乳峪域的最后１比特用于表示该数据包是否已经被标记，记为ＭＦ域；共１７比特，填入ＩＰ包头的∞域（１６比特）以及Ｆｌａｇ域的第一位（１比特）。 ４．２．２信任关系 ＴＲＩＭ的想法与基本概率标记相似，每个路由器都以一定的概率对经过的数据包进行标记。不同点在于ＴＲＩＭ创建了一个信任区域，根据相邻两个路由器之间的信任关系来确定标记概率。 每个路由器都以某一概率纵信任它的邻居路由器。级的取值决定了信任的级别。即ｑｘ＝Ｏ表示不信任邻居ｘ，而ｑｘ＝１．贝Ｕ表示完全信任邻居ｘ。这里，信任关系并不是相互的，即如果ｘ信任ｙ，并不表示ｙ信任ｘ。 每个域的管理员负责配置信任因子。以图４．４为例进行说明，图中有三个ＩＳＰ域（脚ｘ，ＩＳＰＹ，御ｚ），每个ＩＳＰ域由多个边界路由器和核心路由器组成。边界路由器可能直接与客户网络相连，也可能与另一个ＩＳＰ相连。在ＩＳＰｘ中Ｒｌ、Ｒ７和Ｒ９都是边界路由器，分别连接客户机Ｖ，御Ｙ和脚ｚ，其他路由器为核心路由器。在御Ｙ中Ｒ１４为边界路由器，御ｚ中Ｒ１６和Ｒ１７为边界路由器。 管理员可以使用如下简单的规贝｜Ｊ来配胃信任因子： １，为每个边界路由器配置较低的信任因子，例如０。０１，说明不信任外部域；２．为所有核心路由器配置较高的信任因子，例如Ｏ．９９，说明总是信任对应的 硕二｝：学位论文第四章基丁信任关系的路由器接口ＩＤ标记边界路由器。 由于网络管理员对其所管理的网络拓扑都有比较完整清晰的认识，因此对所管理域的主要入口都有较完整的信息。 Ｖ 图４．４域间信任关系示意图 假没信任因子为吼，则要求每个路由器都以概率（１一ｑｘ）对来自邻居的路由器进行标记，即标记包被重新标记的概率为（１．ｑｘ）。另外，路由器还要保证至少有ｐ％的数据包被标记，如果标汜包数小于ｐ％，则对新的数据包进行标记。４．２．３ＴＲＩＭ算法描述 根据前面的分析可知，ＲＩＭ并不支持接广ｌ数超过６４个的路由器，然而目前很多路由器的接Ｕ数都远多于６４个，因此ＲＩＭ的适用性很低。本文对ＲＩＭ进４７ 硕＋学位论文蒴四章基于信任关系的路由器接口ＩＤ标记行了改进，使之支持的路由器接口数大于６４，大大提高了算法的适用性。 我们的方法是为接ＥｌＩＤ分配８比特，这样就能够支持最多２８＝２５６个接Ｅｌ。这已经足够支持目前绝大部分路由器，包括高端路由器，如Ｃｉｓｃｏ７６００系列。路由器以采样概率标记（１．ｑｘ）标记数据包，吼为信任因子。核心路由器的标记概率与边界路由器的标记概率随纵的设置而不同，如边界路由器的信任因子设置为０．０１，则边界路由器将以０。９９的概率对数据包进行标记，这样即使边界路由器以外的路由器不诚实，边界路由器仍然会以极高的概率用自己的ＩＩＤ标记包。在标记时，接收到数据包的接口将其ＩＤ同时写入ｌｉＤ域和ＸＯＲ域，同时将ＭＦ域置为１。每个路由器都相互独立的以概率Ｐ决定标记。假设数据包Ｍ的标记域为：Ｍ．ＭＦ、Ｍ．ＴＴＬ、Ｍ．ＸｏＲ、Ｍ．ｎＤｏ 标记算法的伪码描述如图４．５所示。 图４－５ＴＲＩＭ标记算法伪码描述 与第三章的算法一样，当路由器接受到数据包时，接口获取一个随机数ｘ，若ｘ＜ｐ，则对数据包进行标记。路由器将数据包头的ＭＦ域置为ｌ，表示该数据包已被标记；将接口ＩＤ同时写入包的ｌｉＤ域和ＸＯＲ域，改写包的ｍ域为６４；当路由器对数据包进行转发时，自动对ｍ进行减１操作，以此代替ｄｉｓｔａｎｃｅ域的作用。４８ 硕十学位论文第四章基于信任关系的路由器接口ＩＤ标记 若ｘ≥ｐ，则检查数据包的ＭＦ域。如果数据包的ＭＦ域不为１，说明该数据包是未标记数据包，那么接口不对数据包进行任何操作，对该数据包进行正常的转发操作。如果数据包的ＭＦ域为１，说明该数据包是已标记包，那么接口就将自己的接口ＩＤ与数据包的ＸＯＲ域中的值进行异或操作，然后将结果写入ＸＯＲ域中。 以图４．４为例对算法进行说明。假设ＩＳＰＸ域不信任御ｚ域，御ｘ的管理员将所有边界路由器的信任因子设置为ｑ＝Ｏ．０１，即以非常低的信任因子信任外部域；而核心路由器的信任因子设置为ｑ＝Ｏ．９９，以很高的信任因子信任该域的边界路由器。当御ｚ中的攻击者Ａ２对ＩＳＰＸ中的受害者Ｖ进行欺骗攻击时，路由器Ｒ９仍然会以较高的概率对数据包进行重新标记。这样受害者就能以较少的攻击数据包得知攻击者来自ＩＳＰｚ。 在本例中，信任区域被限制在脚Ｘ的外围。如果攻击者来自御Ｙ，并且其控制了路由器Ｒ１７使用伪装的标记域试图将攻击源重定位到御Ｙ域，那么我们只能追踪到御Ｘ的边界路由器Ｒ９，至少知道攻击者来自御Ｙ。然后如果攻击者来自御ｘ内部，那么我们就能够精确的定位到攻击者的边界路由器。对于来自域外的攻击，我们可以通过扩大信任区域的方法来更加精确的定位攻击者。通过增大域间边界路由器的信任因子，就可以扩大信任区域。例如，通过对来自其他域的攻击数进行统计，管理员可以动态调整域边界路由器的信任因子。假设根据统计，来自御Ｙ的攻击数很少，那么管理员就可以调高路由器Ｒ９的信任因子。４．２．４路径重构方法 当受害者Ｖ接收到数据包时，首先检查ＭＦ域是否为１，如果为ｌ，说明该数据包已被标记，则检查数据包的标记域中的信息。通过计算６４一ＭＴＴＬ可以得出标记该数据包的路由器的距离。Ｖ在收集到的包含在这些标记包中的信息按跳数记录到一张追踪表中。表４一ｌ是攻击者Ａ３攻击路径的追踪表（表中第－ＹＵ用于说明，实际追踪表中不包含该ＹＵ）。 表４．１攻击者Ａ３的追踪表 Ｖ必须首先将表中的记录根据所属攻击路径从跳数为０，Ｉ：始进行分组。通过４９ 硕十学位论文第四章基丁信任关系的路由器接口ＩＤ标记检查任意两个连续跳数的记录是否满足（４．１）式进行分组 ＸＯＲ（ｄ＋１）ｏｌｉＤ（ｄ＋１）＝ＸＯＲ（ｄ）（４－１） 如果满足公式Ｈ．１），就认为两条记录具有相同的路径并被分到同一组中。从表中可以看到，四条记录具有相同的路径，相应的接口ＩＤ序列为２１，２３４，４７，１１８。这条路径就是攻击者Ａ，的攻击路径。 路径重构算法伪码描述如图４．６所示： Ｖ将追踪表Ｔ放入查询数据包，并将查询包发送到上游相邻路由器。 ｆｏｒｅａｃｈＲ， ｛ ｉｆ（Ｒｆ是边界路由器且ＩＩＤ（ｄｍ）是Ｒ的一个有效接口）ｔｈｅｎ｛ Ｒｗｒｉｔｅｓ／ＰａｄｄｒｅｓｓｉｎｔｏＴ ． ＲｓｅｎｄｓＴｂａｃｋｔｏＶａｎｄｄｒｏｐｓ疋 ） ｅｌｓｅ｛ ｆｏｒ产１ｔｏｒｌｄｍ｛ Ｉｆ（ＩＩＤ（ｄ．，）是Ｒ的一个有效接口 且存在如＋１跳的记录满足ＸＯＲ（ｄｍ＋１）ｏＩＩＤ（ｄｍ＋１）＝ＸＯＲ（ｄ）） ｔｈｅｎ｛ Ｔ：＝乃 尺从表尹中删除ｄ＝露或者 （赤谝ｔ＋１且灼欠（磊＋１）ｏＨＤ（ｄｍ＋Ｉ）：：／＝ＸＯＲ（ｄ））的记录； Ｒｗｒｉｔｅｓ／Ｐａｄｄｒｅｓｓｉｎｔｏ置 ＲｓｅｎｄｓｒｔｏｔｈｅｒｏｕｔｅｒｃｏｎｎｅｃｔｅｄｔｏｔｈｅｐｏｒｔｎｕｍｂｅｒｅｄＩＩＤ（ｄｍ）； ） ） Ｒｄｒｏｐｓ乃 ｝ ） 图４．６ＴＲＩＭ路径重构算法伪码描述 当受害者接收到足够多的攻击数据包之后，就能够重构出在攻击路径上的路由器接口ＩＤ序列，然而由于受害者通过追踪表只能恢复ｌｉＤ序列，并不知道相应的实际物理路径，因此需要进行路径重构。重构攻击路径时，受害者需要首先创建追踪表，然后将追踪表放到查询数据包中，并将查询包发送到上游相邻路由器中。当路由器接收到一个查询数据包时，首先扫描追踪表并读取表中最小跳数值如。对每个ｄ；磊的记录，检查是否满足下列条件： １．１ｉＤ（ｄ．，）是一个有效的本地接口；２．存在跳数为如＋１的记录ＸＯＲ（ｄｍ＋１）ｏ肋（而＋１）爿阳Ｒ（办）。 硕士学位论文第四章基于信任关系的路由器接口ＩＤ标记 如果条件不满足，则对跳数为厶＋ｌ的记录执行相同的过程。如果找到满足条件的记录，路由器复制一份追踪表，并且从查询包的追踪表中删除跳数为如以及跳数为如＋ｌ且ＸＯＲ（ｄｍ＋１）ｏｌｉＤ（如＋１）≠ＸＯＲ（ｄｒ，，）的记录。然后，路由器将自己的ＩＰ地址附加到查询包中。最后，路由器将查询包转发到接口号为ｌｉＤ（屯）的接口。沿攻击路径的所有路由器都重复这一过程直到查询数据包到达攻击路由器的下游相邻路由器，该路由器检查接口ｌｉＤ（ｄ．，）是否存在，然后将自己的ＩＰ地址写入查询包，并将查询包转发给受害者Ｖ。受害者Ｖ接受到的查询包中就包含了沿攻击路径的所有路由器的ＩＰ地址。 追踪表中每条记录的长度为２１比特，为了方便，我们为每条记录分配２４比特，即３个字节。由于一个ＩＰ包中ＴＣＰ分段的最大负载为６５５１６字节的数据，因此每个ＩＰ包最多能够携带２１８３８条记录。就追踪每个攻击者而言，最多需要３２条记录，因此一个ＩＰ包能够携带至少６８２个攻击者的追踪信息。如果追踪表中的记录数超过２１８３８条，那么就需要多个查询包来发送一张追踪表。 为了便于讨论，假设一个查询包就能够携带一张追踪表。受害者创建一个查询包，并将查询包发送到距离为０跳的路由器（即上游相邻路由器），该路由器对包进行处理，随后将包转发给距离为１跳的路由器。如此循环，直到查询包到达攻击者的边界路由器。这个路由器对包进行处理，并将其返回给受害者。４．３实验分析与性能评价 本章仍然使用第三章的实验环境，实验拓扑来自朗讯贝尔实验室的ＩｎｔｅｍｅｔＭａｐｐｉｎｇＰｒｏｊｅｃｔ数据库【５７１。使用数据集的路由追踪源点作为受害者节点的边界路由器，路径中的其他内部节点作为受害节点的上游路由器节点，随机选取一些叶节点作为攻击节点。手工设置一些路由器的信任参数以划分信任区域。 对ＮＳ２的ＩＰ包头进行修改，在ｉｐ．ｈ文件的结构ｈｄｒｉｐ中添加一个ｉｎｔ类型的字段ｐｐｍｆ，利用该字段填写标记信息，其中低８位用于标记 １５位用于记录ＸＯＲ域；第１６位用于记录该ＩＰ包是否被标记即ＭＦ域。标记时从低位向高位标记，其余位补０。实验环境的其他设置与第三章相同。 ４．３．１收敛性能 通过实验，我们比较了基本包标记方案，高级包标记方案，第３章中提出的两种标记方案以及ＴＲＩＭ。比较了标汜概率为ｐ＝０．０４以及ｐ－－－０．０１时几种方案的收敛性能。ｐ＝０．０４时实验结果如图４．７所示。旷Ｏ．０１时实验结果如图４—８所示。 硕ｊ卜学位论文第四章基丁信任关系的路由器接口ＩＤ标记 ４５００ ４０００ 删 颡 同 帷 篷 距 基 上矛■七一０Ｏ００Ｏ ０伽 的∞∞∞的∞∞Ｏ Ｏ Ｏ５ｌＯ１５２０２５３０ 路径长度ｄ 图４－７ｐ一０．０４时ＴＲＩＭ收敛性能比较 圃衄ｌ 颡 圆 榷 篷 赋 密 霎 删 ∞∞∞∞∞∞ ０５１０１５２０２５３０ 路径长度ｄ 图４－８ｐ＝０．０１时ＴＲＩＭ收敛性能比较 从图中可以看到，ＴＲＩＭ的收敛性能是最好的，重构路径所需的包数远小于现有的包标记方案。这是因为ＴＲＩＭ只需要接受到沿攻击路径的每个路由器所标记的一个数据包，就能重构出攻击路径。而传统包标记算法为了压缩标记信息，验证ＩＰ地址的有效性等原因对ＩＰ地址进行了Ｈａｓｈ以及分片处理，这就不可避免Ｈａｓｈ冲突，组合爆炸及高计算丌销导致了传统算法的低性能，而ＴＲＩＭ由于弃用ＩＰ地址作为全局标识符，因此得到了较理想的收敛性能。 ４．３．２信任因子的设置 在ＴＲＩＭ中，每个路山器都将以概率ｐ（１．柏对数据包进行标记。假设域管理员为每个边界路由器配置的信任因子为ｖ，为每个核心路由器配置的信任因子为ｑ，那么与受害者距离为ｄ的边界路山器标记一个数据包的概率为： 尸＝Ｐ（１．ｖ）矿１ ５２（４．２） 硕十学位论文第四章基于信任关系的路由器接口ｌＤ标记 而与受害者Ｖ的距离为ｆ的核心路由器标记一个数据包的概率为： Ｑ＝ｐ（１．ｑ）ｑ７－１（４．３） 图４－９说明了设置不同的边界路由器信任因子对受害者接受到标记数据包的概率的影响。其中，核心路由器的信任因子ｑ为Ｏ．９９，表示完全信任边界路由器，同时不断提高ｖ的值，即不断提高对外部域的信任。可以看到，随着’，的不断减小，受害者接收到由边界路由器标记的数据包的概率不断提高。 —Ｄ—ｑ＝Ｏ，９９，Ｖ＝０．０１—各一ｑ＝Ｏ．９９，Ｖ２０．２—似ｑ２０．９９，Ｖ。０．５—ｏ—ｑ２０．９９，Ｖ２０．８ １ ０９ ０８ ０７ ０６ ０５ ０４ ０３ 斟饔甚回曙瀑粤鉴０２ ０１ ０ １２３４５６７８９１０１１１２１３１４ 与受害者的距离 图４－９不同的外部域信任因子的影响 从图４－９中可以看出，如果对于外部域不信任，那么边界路由器将以很高的概率对来自外部域的数据包进行标记，而完全信任内部核心路由器时，标记概率将非常低，这可以有效追踪外部的ＤｏＳ攻击。如果需要对来自域内部的攻击进行追踪，可以将内部信任因子设置为一个适中的数值。 —＿ｃ卜一ｑ＝Ｏ．９９，Ｖ＝０．０１—＿卜一ｑ＝Ｏ．８，Ｖ＃Ｏ，Ｏｌ—＜卜一ｑ＝Ｏ．５，Ｖ＝０．０１—＿（卜ｑ＝０．３，Ｖ＝Ｏ．Ｏｌ Ｏ Ｏ 褂 窭 星 圈 略 颡 脚 蠖０００Ｏ０ ０Ｏ １２３４５６７８９１０１１１２１３１４ 与受害者的距离 图４—１０不同的内部信任因子的影响 硕十学位论文第四章基于信任关系的路由器接口ＩＤ标记 图４．１０为不同的核心路由器信任因子的影响。我们设置边界路由器的信任因子ｖ＝０．０１，即不信任外部域。从图中可以看到，随着ｇ值的增加，受害者Ｖ接收到由核心路由器标记的数据包的概率也不断降低。也就是说，受害者接收到由核心路由器标记的数据包的概率随着核心路由器信任度的增加而不断降低。４．３．３算法的健壮性 根据前面的讨论，可以看到，在ＴＲＩＭ中，如果受害者接受到了所有的攻击数据包并且这些数据包的标记信息都包含在追踪表中，那么所有的攻击者都能被追踪到。也就是说ＴＲＩＭ算法是不存在漏报的。 假设攻击数据者距离受害者的边界路由器的距离值为ｄ并且ＩＩＤ（Ｏ），ｌｉＤ（１）…．，ｌｉＤ（ｄ－１）表示攻击路径的接口序列。ＸＯＲ（ｉ）表示由与受害者的边界路由器距离为ｉ跳的路由器标ｉ己的数据包的ＸＯＲ域，那么追踪表将包含如下记录： ｛０，ｌＩＤ（Ｏ），ＸＯＲ（Ｏ）｝，…｛小１，ｌｉＤ（ｄ－１），ＸＯＲ（ｄ－１）｝ 这里ＸＯＲ（ｉ）＝ＩＩＤ（Ｏ）ｏＩＩＤ（１）ｏ…ｏｌｉＤ（ｉ）。 由于ＸＯＲ（ｉ）ｏＩＩＤ（ｉ）＝ＸＯＲ（ｉ．１），因此ＩＩＤ（Ｏ），…，ＩＩＤ（ｄ－１）－－定是沿攻击路径的所有路由器的ｌｉＤ序列。 攻击路径数 图４－１１ＴＲｌＭ误报数比较 图４—１１为ＴＲＩＭ方案与其他包标记方案的误报数比较。从图中可以看出，ＴＲＩＭ较其他方案在误报率方面有了较大改善。当攻击路径达到２０００条时，误报数在１８０左右。另外，ＴＲＩＭ方案能够最多支持２８个路由器接口，也就是说我们可以每个接口从０－２５５中任意选取一个整数作为接口ｌｉＤ，这样就进一步降低了接口ＩＤ冲突的概率，同时一个数据包就能够携带～个接口ＩＤ，避免使用分片，这就避免了由于分片组合导致的组合爆炸，使得误报在所有标记方案中达到最优情况。５４ 硕士学位论文第四章基丁信任关系的路由器接口ＩＤ标记４．４本章小结 本章对ⅪＭ进行了改进，解决了砒Ｍ不能支持路由器接口数超过６４的问题。提出了基于信任关系的ＴＲＩＭ追踪方案，该方案要求域管理员对所管理域的路由器配置信任因子。根据路由器是核心路由器还是边界路由器，配置不同的信任因子。该方案通过设置域间不同的信任关系在网络中划分出不同的信任区域，初步提出了解决不同域或ＩＳＰ之间追踪问题的方案。该方案要求网络管理员的进一步参与，以及ＩＳＰ之间的合作。通过使用本地唯一的路由器接口序列来唯一地表示一条攻击路径，并且配合相应的信任因子的设置，ＴＲＩＭ实现了较好的收敛性能及较低的误报率。仿真实验也证明了这一结论。 硕十学位论文第五章总结与展望 第五章总结与展望 ５．１全文总结 ＤｏＳ攻击是目前Ｉｎｔｅｍｅｔ面临的主要安全威胁之一，其自身的一些特点和发展趋势使其成为目前较难防御的一种攻击形式。本文对ＤｏＳ攻击及其对策进行了探讨，尤其在ＤｏＳ攻击的追踪方面做了深入的研究，主要对现有追踪方案中的数据包标记方法进行了分析。在此基础上提出了三种新的概率包标记ＩＰ追踪方案，具有较高的追踪收敛性能，较低的计算开销以及漏报率，初步解决了局部网络之间的追踪问题，能有效的应对ＩＰ地址欺骗攻击。本文的研究工作主要取得了以下几方面的成果： １．研究了ＩＰ追踪的原理，对ＩＰ追踪的分类学进行了研究，并介绍了现有的各类ＩＰ追踪方案。对数据包标记方案进行了详细的研究，对各种方法采用的技术和算法进行了分析，指出了这些方法的优缺点。总结并比较了现有ＩＰ追踪方案的特点。 ２．在基本包标记的基础上，对算法进行改进，提出两种新的弥补概率标记方案。使用新的标记内容，降低了ＩＰ数据包头部的存储空间需求以及计算负载；使用非强制标记和基于记录的弥补概率标记策略，解决了传统方法存在的“最弱链”问题。理论分析与实验结果均证明，与传统方法相比，我们的方法有效地提高了追踪的收敛性能，同时降低计算开销并提高了算法的健壮性。 ３．提出了基于信任关系的路由器接口ＩＤ标记方案ＴＲＩＭ，解决了ⅪＭ不能支持路由器接口数大于６４的问题。通过增大随机选择接口ｌｉＤ的基数，降低了冲突的概率，从而降低了误报。同时，通过为不同的路由器设置不同的信任因子，划分出信任域，解决了欺骗型攻击产生的问题以及路由器不诚实的问题。当路由器不诚实时，ＴＲＩＭ能够准确地追踪到域的边界路由器，初步解决了域间ＩＰ追踪问题。 ５．２研究展望 本论文中还有一些工作需要继续完善和深入，在如下方面还有继续研究的必要和意义： １．本文提出的方案需要路由器中额外的存储空间以保存弥补表或者追踪表，这增加了对路由器存储器空间的需求。另外，处理这些表也提高了路由器处理器５６ 硕士学位论文第五章总结与展望的计算负载。如何降低这些部署开销将是下一步工作的目标。 ２．本文主要针对直接型的ＤｏＳ攻击ＩＰ源追踪问题展开研究，对于目前出现的反射型ＤｏＳ攻击还需要进一步展开研究。另外将攻击数据包和正常的网络流量区分开，进一步将追踪与过滤功能结合到一起也是一个新的问题。 ３．目前，基本上所有的ＩＰ追踪方案都是针对ＩＰｖ４环境提出的，只能适用于ＩＰｖ４协议环境，对于ＩＰｖ６协议的研究还有待继续。由于ＩＰｖ６协议数据报头舍弃了ＩＰｖ４协议数据报头中许多已有的字段，所以不能简单的套用，必须根据网络中的实际情况来决定重载的域和方式。 以上只是需要进一步研究的几个主要方面，当然还包括其他诸多方面。从目前的研究现状来看，己有的防御措施仍然不是很完善，存在着这样或那样的问题，尚待进一步的研究和产品开发。况且，攻击和防御是天生的两个对立面，此消彼长。因此，关于ＤＤｏＳ攻击的研究仍将是未来很长一段时间内的热点问题，也需要我们根据其发展的新特点做出更多的努力。５７ 硕十学位论文参考文献 参考文献 【１】ＣＮＮＩＣ，中国互联网络信息中心．中国互联网络发展状况统计报告，２００８ 【２】ＣＥＲＴＣｏｏａｒｄｉｎａｔｉｏｎＣｅｎｔｅｒ．ＴｒｅｎｄｓｉｎＤｅｎｉａｌｏｆＳｅｒｖｉｃｅＡｔｔａｃｋＴｅｃｈｎｏｌｏｇｙ． ｈｔｔｐ：／／ｗｗｗ．ｃｅｒｔ．ｏｒｇ／ａｒｃｈｉｖｅ／ｐｄｆ／ｃｅｒｔ＿ｒｓｃｈａｎｎｕａｌ＿ｒｐｔ＿２００６．ｐｄｆ 【３】ＤａｖｉｄＫａｒｉｎｇ，ＲｕｄｙＬｅｅ．ＲｅｍｏｔｅＤｅｎｉａｌｏｆＳｅｒｖｉｃｅａｔｔａｃｋｓａｎｄＣｏｕｎｔｅｒｍｅａｓｕｒｅｓ． ＰｒｉｎｃｅｔｏｎＵｎｉｖｅｒｓｉｔｙＤｅｐａｒｔｍｅｎｔｏｆＥｌｅｃｔｒｉｃａｌＥｎｇｉｎｅｅｒｉｎｇ ＣＥ２００１－２００２，２００１ＴｅｃｈｎｉｃａｌＲｅｐｏｒｔ 【４】ＤａｖｉｄＭｃＧｕｉｒｅ．ＤＤｏＳＡｔｔａｃｋｓＳｔｉｌｌＰｏｓｅＴｈｒｅａｔｔｏＩｎｔｅｒｎｅｔ． ｈｔｔｐ：／／ｗｗｗ．ｗａｓｈｉｎｇｔｏｎｐｏｓｔ．ｃｏｍ／ｗｐ—ｄｙｎ／ａｒｔｉｃｌｅｓ／Ａ６１７１４—２００３Ｎｏｖ４．ｈｔｍｌ 【５】ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙＩｎｓｔｉｔｕｔｅａｎｄＦｅｄｅｒａｌＢｕｒｅａｕｏｆＩｎｖｅｓｔｉｇａｔｉｏｎ，（２００３）．“２００３ ＣＳＩ／ＦＢＩｃｏｍｐｕｔｅｒｃｒｉｍｅａｎｄｓｅｃｕｒｉｔｙｓｕｒｖｅｙ，’’ＣｏｍｐｕｔｅｒＳｅｃｕｒｉｔｙＩｎｓｔｉｔｕｔｅ ｐｕｂｌｉｃａｔｉｏｎ，Ａｖａｉｌａｂｌｅ：ｈｔｔｐ：／／ｗｗｗ．ｃｓ．ｓｆｕ．ｃａ／ＣＣ／３０１／ｃｗａ５０／ＦＢｌ２００６．ｐｄｆ 【６】朱良根，张玉清，雷震甲．ＤｏＳ攻击及其防范．计算机应用研究．２００４，０７： ８２－８４ 【７】林梅琴，李志蜀，袁小铃，等．分布式拒绝服务攻击及防范研究．计算机应 用研究．２００６，２３（８）：１５ｌ～１５４ 【８】Ｃｏｍｐｕｔｅｒｅｍｅｒｇｅｎｃｙｒｅｓｐｏｎｓｅｔｅａｍ．Ｒｅｓｕｌｔｓ Ｔｏｏｌｓ １９９９ｏｆＤｉｓｔｒｉｂｕｔｅｄＳｙｓｔｅｍｓＩｎｔｒｕｄｅｒＷｏｒｋｓｈｏｐ．ｈｔｔｐ：／／ｗｗｗ．ｃｅｒｔ．ｏｒｇ／ｒｅｐｏｒｔｓ／ｄｉｓｔ－ｗｏｒｋｓｈｏｐ－ｆｉｎａｌ．ｈｔｍｌ，Ｎｏｖ． 【９】ＴｈｅＩｎｔｅｍｅｔＥｎｇｅｒｒｉｎｇＴａｓｋＦｏｒｃｅ．ＲＦＣ７９３．Ｔｒａｎｓｍｉｓｓｉｏｎｃｏｎｔｒｏｌｐｒｏｔｏｃ０１． ＵＳＡ：ＩＥＴＦ１９８１—０９ 【１０】ＤａｖｉｄＤｉｔｔｒｉｃｈ．ＴｈｅＤｏＳｐｒｏｊｅｃｔ’Ｓ‘、ｒｉｎｏｏ”ｄｉｓｔｒｉｂｕｔｅｄｄｅｎｉａｌｏｆｓｅｒｖｉｃｅａｔｔａｃｋ ｔ００１．ｈｔｔｐ：／／ｓｔａｆｆ．ｗａｓｈｉｎｇｔｏｎ．ｅｄｕ／ｄｉｔｔｒｉｃｈ／ｍｉｓｃ／ｔｒｉｎｏｏ．ａｎａｌｙｓｉｓ．Ｏｃｔ．１９９９ 【１１】ＤａｖｉｄＭｏｏｒｅ，ＣｏｌｌｅｅｎＳｈａｎｎｏｎ，ＧｅｏｆｆｅｒｙＭ．Ｖｏｅｌｋｅｒ，ｅｌａ１．ＩｎｔｅｒｎｅｔＱｕａｒａｎｔｉｎｅ： ＲｅｑｕｉｒｅｍｅｎｔｓｆｏｒＣｏｎｔａｉｎｉｎｇＳｅｌｆ－ＰｒｏｐａｇａｔｉｎｇＣｏｄｅ．Ｉｎ：ＩＮＦＯＣＯＭ２００３． Ｔｗｅｎｔｙ—ＳｅｃｏｎｄＡｎｎｕａｌＪｏｉｎｔＣｏｎｆｅｒｅｎｃｅｏｆｔｈｅＩＥＥＥＣｏｍｐｕｔｅｒａｎｄ ＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｏｃｉｅｔｉｅｓ．ＳａｎＤｉｅｇｏ，ＣＡ，ＵＳＡ：ＩＥＥＥ，２００３．１９０１－１９１０ 【１２】张然，钱德沛，张文杰，等．入侵检测技术研究综述．小型微型计算机系统， ２００３，２４（７）：１１１３－１１１８ 【１３】ＪｅｌｅｎａＭｉｒｋｏｖｉｃ，ＧｒｅｇｏｒｙＰｒｉｅｒ，ＰｅｔｅｒＲｅｉｈｅｒ．ＡｔｔａｃｋｉｎｇＤＤｏＳａｔｔｈｅｓｏｕｒｃｅ．Ｉｎ： ＰｒｏｃｅｅｄｉｎｇｓｏｆｌＣＮＰ２００２，Ｐａｒｉｓ，Ｆｒａｎｃｅ，２００２．３Ｉ２－３２１ ［１４】何慧，张宏莉，张伟哲，等．一种基于相似度的ＤＤｏＳ攻击检测方法．通信学５８ 硕士学位论文参考文献 报，２００４，２５（７）：１ 【１５】Ｇｌｅｎｎ７６－－－１８４Ｃａｒｌ，ＧｅｏｒｇｅＫｅｓｉｄｉｓ，ＲｉｃｈａｒｄＢｒｏｏｋｓ，ｅｔａ１．Ｄｅｎｉａｌ—ｏｆ－Ｓｅｒｖｉｃｅ Ａｔｔａｃｋ—ＤｅｔｅｃｔｉｏｎＴｅｃｈｎｉｑｕｅｓ．ＩＥＥＥＩｎｔｅｒｎｅｔＣｏｍｐｕｔｉｎｇ，２００６，１０（１），８２－８９ 【１６】ＲＦＣＥｄｉｔｏｒ．ＲＦＣ２８２７．Ｎｅｔｗｏｒｋｉｎｇｒｅｓｓｆｉｌｔｅｒｉｎｇ：ｄｅｆｅａｔｉｎｇＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ ｓｏｕｒｃｅａｔｔａｃｋｓｗｈｉｃｈｅｍｐｌｏｙＩＰ Ｓｅｎｉｅ，２０００ａｄｄｒｅｓｓｓｐｏｏｆｉｎｇ．ＵｎｉｔｅｄＳｔａｔｅｓ：Ｐ．Ｆｅｒｇｕｓｏｎ，Ｄ． ［１７】ＫｉｈｏｎｇＰａｒｋ，ＨｅｅｊｏＬｅｅ．Ｏｎｔｈｅｅｆｆｅｃｔｉｖｅｎｅｓｓｏｆｒｏｕｔｅ—ｂａｓｅｄｐａｃｋｅｔｆｉｌｔｅｒｉｎｇｆｏｒ ｄｉｓｔｒｉｂｕｔｅｄＤｏＳａｔｔａｃｋｐｒｅｖｅｎｔｉｏｎｉｎｐｏｗｅｒ－ｌａｗｉｎｔｅｒｎｅｔｓ．ＡＣＭＳＩＧＣＯＭＭ ＣｏｍｐｕｔｅｒＣｏｍｍｕｎｉｃａｔｉｏｎＲｅｖｉｅｗ，２００１，３１（４）：１５－２６ 【１８】ＪｏｎａｔｈａｎＬｅｍｏｎ．ＲｅｓｉｓｔｉｎｇＳＹＮｆｌｏｏｄＤｏＳａｔｔａｃｋｓｗｉｔｈａＳＹＮｃａｃｈｅ．Ｉｎ： ｏｎＪｏｎａｔｈａｎＬｅｍｏｎ，ｅｄｓ．ＰｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅＢＳＤＣｏｎｆｅｒｅｎｃｅ２００２ＢＳＤ Ｃｏｎｆｅｒｅｎｃｅ．ＳａｎＦｒａｎｃｉｓｃｏ，Ｃａｌｉｆｏｍｉａ：ＵＳＥＮＩＸＡｓｓｏｃｉａｔｉｏｎ，２００２．８９－９８ 【１９】ＴｕｏｍａｓＡｕｒａ，ＰｅｋｋａＮｉｋａｎｄｅｒ，Ｊ ｐｕｚｚｌｅｓ．Ｉｎ：ＢｒｕｃｅＬｅｉｗｏ．ＤｏＳ—ｒｅｓｉｓｔａｎｔａｕｔｈｅｎｔｉｃａｔｉｏｎｗｉｔｈｃｌｉｅｎｔＣｈｒｉｓｔｉａｎｓｏｎ，ＢｒｕｎｏＣｒｉｓｐｏ，ＪａｍｅｓＡ．Ｍａｌｃｏｌｍ，ｅｄｓ．Ｐｒｏｃｏｆ Ｗｏｒｋｓｈｏｐｏｎｔｈｅ８ｔｈＩｎｔｅｒｎａｔｉｏｎａｌ ２０００．１７０￣１７８ＳｅｃｕｒｉｔｙＰｒｏｔｏｃｏｌｓ．Ｃａｍｂｒｉｄｇｅ，ＵＫ：Ｓｐｒｉｎｇｅｒ， ａ１．ＰｒａｃｔｉｃａｌＮｅｔｗｏｒｋＳｕｐｐｏａ【２０】ＳｔｅｆａｎＳａｖａｇｅ，ＤａｖｉｄＷｅｔｈｅｒａｌｌ，ＡｎｎａＫａｒｌｉｎ，ｅｔ ｆｏｒＩＰＴｒａｃｅｂａｃｋ．ＡＣＭＳＩＧＣＯＭＭＣｏｍｐｕｔｅｒＣｏｍｍｕｎｉｃａｔｉｏｎＲｅｖｉｅｗ，２０００，３０（４）：２９５－３０６ 【２１】蔡玮玛，黄皓．ＤＤｏｓ攻击ＩＰ追踪及攻击源定位技术研究．计算机工程，２００６， ２３（１４）：１５１－１５３ ［２２】王永杰，鲜明，陈志杰，等．ＤＤｏｓ攻击分类与效能评估方法研究．计算机科 学，２００６，３３（１０）：９７～１０ 【２３】陈伟，何炎详，彭文灵．一种轻量级的拒绝服务攻击检测方法．计算机学报， ２００６，２９（８）：１３９２－１４００ 【２４】ＲｏｂｅｒｔＳｔｏｎｅ．ＣｅｎｔｅｒＴｒａｃｋ：ＡｎＩＰＯｖｅｒｌａｙＮｅｔｗｏｒｋｆｏｒＴｒａｃｋｉｎｇＤｏＳＦｌｏｏｄｓ．Ｉｎ： ＲｏｂｅｒｔＳｔｏｎｅ，ｅｄｓ．Ｐｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅ２０００ＵＳＥＮＩＸＳｅｃｕｒｉｔｙＳｙｍｐｏｓｉｕｍ， Ｄｅｎｖｅｒ，Ｃｏｌｏｒａｄｏ：ＵＳＥＮＩＸＡｓｓｏｃｉａｔｉｏｎ，２０００．１５－１７ 【２５】ＨａｌＢｒｕｃｈ，ＢｉｌｌＣｈｅｓｗｉｓｋ．ＴｒａｃｉｎｇＡｎｏｎｙｍｏｕｓＰａｃｋｅｔｓｔｏＴｈｅｉｒＡｐｐｒｏｘｉｍａｔｅ Ｏｒｌｅａｎｓ：Ｓｏｕｒｃｅ．Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｏｆ２０００ＵＳＥＮＩＸＬＩＳＡＣｏｎｆｅｒｅｎｃｅ，Ｎｅｗ ＵＳＥＮＩＸ，２０００．３１３－３２１ 【２６］ＨａｌＢｕｒｃｈ，ＳｔｅｖｅＢｒａｎｉｇａｎ，ＢｉｌｌＣｈｅｓｗｉｅｋ．ＭａｐｐｉｎｇａｎｄＶｉｓｕａｌｉｚｉｎｇ ｏｎｔｈｅＩｎｔｅｒｎｅｔ．Ｉｎ：ＰｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅａｎｎｕａｌｃｏｎｆｅｒｅｎｃｅＵＳＥＮＩＸＡｎｎｕａｌＴｅｃｈｎｉｃａｌ Ｃｏｎｆｅｒｅｎｃｅ．ＳａｎＤｉｅｇｏ，Ｃａｌｉｆｏｍｉａ，ＵＳＡ：ＵＳＥＮＩＸＡｓｓｏｃｉａｔｉｏｎ，２０００．１－１５９ 硕士学位论文参考文献 【２７】ＧｌｅｎｎＳａｇｅＬＳｅｃｕｒｉｔｙｆｕｎｗｉｔｈｏｃｘｍｏｎａｎｄｃｆｌｏｗｄ．ＰｒｅｓｅｎｔａｔｉｏｎａｔｔｈｅＩｎｔｅｍｅｔ２ ＷｏｒｋｉｎｇＧｒｏｕｐ，Ｎｏｖｅｍｂｅｒ１９９８．ｈｔｔｐ：／／ｗｗｗ．ｃａｉｄａ．ｏｒｇ／ｆｕｎｄｉｎｇ／ｎｇｉ／ｃｏｎｔｅｎｔ／ ｓｅｃｕｒｉｔｙ／１１９８／ ［２８】ＡｌｅｘＳｎｏｅｒｅｎ，ＣａｒｉｇＰａｒｔｒｉｄｇｅ，ＬｕｉｓＳａｎｃｈｅｚ，ｅｔａ１．Ｈａｓｈ—ＢａｓｅｄＩＰＴｒａｃｅｂａｃｋ． Ｒｅｖｉｅｗ，２００１，３１（４）：３～１４ ｓｏｕｒｃｅｓ．ＡＣＭＳＩＧＣＯＭＭＣｏｍｐｕｔｅｒＣｏｍｍｕｎｉｃａｔｉｏｎ【２９】ＴａｔｓｕｙａＢａｂａ，ＳｈｉｇｅｙｕｋｉＭａｔｓｕｄａ．Ｔｒａｃｉｎｇｎｅｔｗｏｒｋａｔｔａｃｋｓｔｏｔｈｅｉｒ ＩＥＥＥＩｎｔｅｍｅｔＣｏｍｐｕｔｉｎｇ，２００２，６（２）：２０－２６ ＳｔａｔｅｓＣｏｍｐｕｔｅｒＥｍｅｒｇｅｎｃｙＲｅａｄｉｎｅｓｓ［３０】ＣＥＲＴ（ＵｎｉｔｅｄＴｅａｍ）Ａｄｖｉｓｏｒｙ ＣＡ－１９９６—２，ＴＣＰＳＹＮＦｌｏｏｄｉｎｇａｎｄＩＰＳｐｏｏｆｉｎｇＡｔｔａｃｋｓ．ｈｔｔｐ：／／ｗｗｗ．ｃｅｒｔ．ｏｒｇ／ａｄｖｉｓｏｒｉｅｓ／ＣＡ．１９９６．２１．ｈｔｍｌ．１９９６．１２ 【３１】ＳｔｅｖｅＢｅｌｌｏｖｉｎ，ＭａｒｃｕｓＬｅｅｃｈ，ＴｏｍＴａｙｌｏｒ．ＩＣＭＰＴｒａｃｅｂａｃｋＭｅｓｓａｇｅｓ． ｈｔｔｐ：／／ｗｗｗ３．ｉｅｔｆ．ｏｒｇ／ｐｒｏｃｅｅｄｉｎｇｓ／０１ｄｅｃ／Ｉ－Ｄ／ｄｒａｆｔ—ｉｅｔｆ－ｉｔｒａｃｅ一０１．ｔｘｔ，２００１．１０ 【３２】ＣＢａｒｒｏｓ．ＡＰｒｏｐｏｓａｌｆｏｒＩＣＭＰｔｒａｃｅｂａｃｋｍｅｓｓａｇｅｓ．ＩｎｔｅｍｅｔＤｒａｆｔ． ｈｔｔｐ：／／ｗｗｗ．ｒｅｓｅａｒｃｈ．ａｔｔ．ｃｏｍ／ｌｉｓｔｓ／ｉｅｔｆｉｔｒａｃｅ／２００／０９／ｍｓ９０００４４．ｈｔｍｌ，２０００．０９ 【３３】ＡｌｌｉｓｏｎＭａｎｋｉｎ，ＤａｎＭａｓｓｅｙ，Ｃｈｉｅｎ—ＬｕｎｇＷｕ，ｅｔ “ｉｎｔｅｎｔｉｏｎ—ｄｒｉｖｅｎ”ＩＣＭＰｔｒａｃｅｂａｃｋ．Ｉｎ：Ｃｏｍｐｕｔｅｒａ１．ＯｎｄｅｓｉｇｎａｎｄｅｖａｌｕａｔｉｏｎｏｆＣｏｍｍｕｎｉｃａｔｉｏｎｓａｎｄ Ｎｅｔｗｏｒｋｓ，２００１．Ｐｒｏｃｅｅｄｉｎｇｓ．ＴｅｎｔｈＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎ．Ｓｃｏｔｔｓｄａｌｅ，ＡＺ，ＵＳＡ：ＩＥＥＥ，２００１．１５９－１６５ 【３４】ＩＥＴＦ，ＴｈｅＩｎｔｅｍｅｔＥｎｇｉｎｅｅｒｉｎｇＴａｓｋＦｏｒｃｅ．ＩＣＭＰＴｒａｃｅｂａｃｋ（ｉｔｒａｃｅ）． ｈｔｔｐ：／／ｗｗｗ．ｉｅｔｆ．ｏｒｇ／ｈｔｍｌ．ｃｈａｒｔｅｒｓ／ＯＬＤ／ｉｔｒａｃｅ—ｃｈａｒｔｅｒ．ｈｔｍｌ．２００３．０７ 【３５】ＤａｗｎＸｉａｏｄｏｎｇＳｏｎｇ，ＡｄｒｉａｎＰｅｒｒｉｇ．ＡｄｖａｎｃｅｄａｎｄＡｕｔｈｅｎｔｉｃａｔｅｄＭａｒｋｉｎｇ ＳｃｈｅｍｅｓｆｏｒＩＰＴｒａｃｅｂａｃｋ．Ｉｎ：ＩＮＦＯＣＯＭ２００１．ＴｗｅｎｔｉｅｔｈＡｎｎｕａｌＪｏｉｎｔ ＣｏｎｆｅｒｅｎｃｅｏｆｔｈｅＩＥＥＥＣｏｍｐｕｔｅｒａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｏｃｉｅｔｉｅｓ．Ｐｒｏｃｅｅｄｉｎｇｓ．ＩＥＥＥ．Ａｎｃｈｏｒａｇｅ，Ａｌａｓｋａ，ＵＳＡ：ＩＥＥＥ，２００１．Ｖ０１．２８７８－８８６ 【３６】ＫｉｈｏｎｇＰａｒｋ，ＨｅｅｊｏＬｅｅ．Ｏｎｔｈｅｅｆｆｅｃｔｉｖｅｎｅｓｓｏｆｐｒｏｂａｂｉｌ括ｔｉｃｐａｃｋｅｔｍａｒｋｉｎｇｆｏｒ ＩＰｔｒａｃｅｂａｃｋｕｎｄｅｒｄｅｎｉａｌｏｆｓｅｒｖｉｃｅａｔｔａｃｋ．Ｉｎ：ＩＮＦＯＣＯＭ２００１．Ｔｗｅｎｔｉｅｔｈ ＡｎｎｕａｌＪｏｉｎｔＣｏｎｆｅｒｅｎｃｅｏｆｔｈｅＩＥＥＥＣｏｍｐｕｔｅｒａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｏｃｉｅｔｉｅｓ．Ｐｒｏｃｅｅｄｉｎｇｓ．ＩＥＥＥ．Ａｎｃｈｏｒａｇｅ，Ａｌａｓｋａ，ＵＳＡ：ＩＥＥＥ，２００１．Ｖ０１．２ 【３７】ＳｔｅｖａｎＳａｖａｇｅ，Ｄａｖｉｄ３３８－３４７Ｗｅｔｈｅｒａｌｌ，ＡｎｎａＫａｒｌｉｎ，ｅｔａ１．Ｎｅｔｗｏｒｋ ｏｎＳｕｐｐｏｒｔｆｏｒＩＰＴｒａｃｅｂａｃｋ．ＡＣＭ／ＩＥＥＥＴｒａｎｓａｃｔｉｏｎｓ ［３８】ＴａｏＮｅｔｗｏｒｋｉｎｇ（ＴＯＮ），２００１，９（３）：２２６－一２３７Ｐｅｎｇ，ＣｈｒｉｓｔｏｐｈｅｒＬｅｃｋｉ，ＫｏｔａｇｉｒｉＲａｍａｍｏｈａｎａｒａｏ．ＡｄｊｕｓｔｅｄＰｒｏｂａｂｉｌｉｓｔｉｃ ＰａｃｋｅｔＭａｒｋｉｎｇｆｏｒＩＰＴｒａｃｅｂａｃｋ．ＰｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅＳｅｃｏｎｄＩｎｔｅｍａｔｉｏｎａｌ ＣｏｎｆｅｒｅｎｃｅｏｎＩＦＩＰ－ＴＣ６ＮｅｔｗｏｒｋｉｎｇＮｅｔｗｏｒｋｉｎｇＴｅｃｈｎｏｌｏｇｉｅｓ，Ｓｅｒｖｉｃｅｓ，ａｎｄ ａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎＮｅｔｗｏｒｋｓ；ａｎｄＰｒｏｔｏｃｏｌｓ；ＰｅｒｆｏｒｍａｎｃｅｏｆＣｏｍｐｕｔｅｒＭｏｂｉｌｅ 硕士学位论文参考文献 ａｎｄＷｉｒｅｌｅｓｓＣｏｍｍｕｎｉｃａｔｉｏｎｓ，２００２，２３４５（２００２）：６９７－７０８ 【３９】Ｉｎｔｅｒｎｅｔ 【４０】ＲＦＣＲＦＣ／ＳＴＤ／ＦＹＩ／ＢＣＰ心ｃｌｌｉＶｅｓ．ｈｔｔｐ：／／ｗｗｗ．ｆａｑｓ．ｏｒｇ／ｒｆｃｓ／ｒｆｃ７９１．ｈｔ“ＭＴＵｄｉｓｃｏｖｅｒｙ．ＵｎｉｔｅｄＳｔａｔｅｓ：ＪｅｆｆｒｅｙＥｄｉｔｏｒ．ＲＦＣ１１９１．ＰａｔｈＭｏｇｕｌ， ＳｔｅｖｅＤｅｅｒｉｎｇ，１９９０ 【４１】ＭａｒｃｅｌＷａｌｄｖｏｇｅ．ＧＯＳＳＩＢＶＳ．ＩＰＴｒａｃｅｂａｃｋＲｕｍｏｒｓ．Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｏｆｔｈｅ１８ｔｈ ＡｎｎｕａｌＣｏｍｐｕｔｅｒＳｅｅｕｒｉｔｙＡｐｐｌｉｃａｔｉｏｎＣｏｎｆｅｒｅｎｃｅ．ＬａｓＶｅｇａｓ，Ｎｅｖａｄａ：ＩＥＥＥＣｏｍｐｕｔｅｒＳｏｃｉｅｔｙ，２００２．５－１３ 【４２］ＣｏｏｐｅｒｍｉｖｅＡｓｓｏｃｉａｔｉｏｎｆｏｒＩｎｔｅｒｎｅｔＤａｔａＡｎａｌｙｓｉｓ（ＣＡＩＤＡ）．ＴｈｅＳｋｉｔｔｅｒｐｒｏｊｅｃｔ． ｈｔｔｐ：／／ｗｗｗ．ｃａｉｄａ．ｏｒｇ／ｔｏｏｌ／ｍｅａｓｕｒｅｍｅｎｔ／ｓｋｉｔｔｅｒ／．２００３．０３．０５ 【４３】ＭｉｃｈａｅｌＧｏｏｄｒｉｅｈ．ＥｆｆｉｃｉｅｎｔＰａｃｋｅｔＭａｒｋｉｎｇｆｏｒＬａｒｇｅ—Ｓｃａｌｅ ＡＣＭｃｏｎｆｅｒｅｎｃｅＩＰＴｒａｃｅｂａｃｋ．Ｉｎ：ｏｎＡＣＭ，ＳＩＧＳＡＣ，ｅｄｓ．Ｐｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅ９ｔｈＣｏｍｐｕｔｅｒａｎｄ ｃｏｍｍｕｎｉｃａｔｉｏｎｓｓｅｃｕｒｉｔｙ．Ｗａｓｈｉｎｇｔｏｎ，ＤＣ，ＵＳＡ：ＡＣＭ，２００２．１１７￣１２６ 【４４】ＤｒｅｗＤｅａｎ，ＭａｔｔＦｒａｎｋｌｉｎ，Ａｄａｍ Ｔｒａｃｅｂａｃｋ．ＡＣＭＴｒａｎｓａｃｔｉｏｎｓ ２００２，５（２）：ｌ１９－１３７ 【４５】ＳｉｇａｌＡｔ，ＲｉｃｈａｒｄｏｎＳｔｕｂｂｌｅｆｉｅｌｄ．ＡｎＡｌｇｅｂｒａｉｃＡｐｐｒｏａｃｈｔｏＩＰＩｎｆｏｒｍａｔｉｏｎａｎｄＳｙｓｔｅｍＳｅｃｕｒｉｔｙ（ＴＩＳＳＥＣ），Ｌｉｐｔｏｎ，ＲｏｎｉｔｔＲｕｂｉｎｆｅｌｄ，ｅｔａ１．Ｒｅｃｏｎｓｔｒｕｃｔｉｎｇａｌｇｅｂｒａｉｃ ｆｕｎｃｔｉｏｎｓｆｒｏｍｍｉｘｅｄｄａｔａ．ＳｌＡＭＪｏｕｒｎａｌｏｎＣｏｍｐｕｔｉｎｇ，１９９９，２８（２）：４８７－５１０ ｐｒｏｂａｂｉｌｉｓｔｉｃ【４６】ＪｅｎｓｈｉｕｈＬｉｕ，Ｚｈｉ—ＪｉａｎＬｅｅ，Ｙｅｈ－ＣｈｉｎｇＣｈｕｎｇ．Ｅｆｆｉｃｉｅｎｔｄｙｎａｍｉｃ ｐａｃｋｅｔｍａｒｋｉｎｇｆｏｒＩＰＴｒａｃｅｂａｃｋ．Ｉｎ：Ｎｅｔｗｏｒｋｓ，２００３．ＩＣＯＮ２００３．ＴｈｅｌｌｔｈＩＥＥＥＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎ．’ＮｅｗＹｏｒｋ：ＩＥＥＥ，２００３，５１（３）：４７５－４８０ 【４７】ＬｉａｎｇＦｅｎｇ，ＺｈａｏＪｉａｎ—Ｘｉｎ，ＤａｖｉｄＹａｏ．ＲｅａｌｔｉｍｅＩＰｔｒａｃｅｂａｃｋｗｉｔｈａｄａｐｔｉｖｅ ｐｒｏｂａｂｉｌｉｓｔｉｃｐａｃｋｅｔｍａｒｋｉｎｇ．ＪｏｕｒｎａｌｏｆＳｏｆｔｗａｒｅ，２００３，１４（５）；１００５－１０１０ ｏｎ【４８】ＬＩＤｅ—Ｑｕａｎ，ＳＵＰｕ－Ｒｕｉ，ＦＥＮＧＤｅｎｇ－Ｇｕｏ．ＮｏｔｅｓＰａｃｋｅｔＭａｒｋｉｎｇｆｏｒＩＰ Ｔｒａｃｅｂａｃｋ．ＪｏｕｒｎａｌｏｆＳｏｆｔｗａｒｅ，２００４，１５（２）：２５０－２５８ 【４９】李德全，徐一丁，苏璞睿．ＩＰ追踪中的自适应包标记．电子学报，２００４，３２（８）： １３３４￣１３３７ 【５０】ＡｎｄｒｅｗＴａｎｅｎｂａｕｍ．ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｓ，熊桂喜，王小虎．筹三舨拣清 １：ＴｈｅＰｒｏｔｏｃａｌｓ，范建华，胥光华大学出版社，１９９８，３１６￣３１７【５ｌ】Ｗ．Ｒｉｃｈａｒｄ，Ｓｔｅｖｅｎｓ．ＴＣＰ／ＩＰＩｌｌｕｓｔｒａｔｅｄＶｏｌｕｍｅ 辉，张涛，等．第一版．北京：机械工业出版社，２０００，２６－－２７ 【５２】ＶａｄｉｍＫｕｚｎｅｔｓｏｖ，ＡｎｄｒｅｉＳｉｍｋｉｎ，ＨｅｌｅｎａＳａｎｄｓｔｒｏｍ．Ａｎｅｖａｌｕａｔｉｏｎｏｆｄｉｆｆｅｒｅｎｔ Ｑｉｎｇ，Ｆｅｎｇ ｏｎＩＰｔｒａｃｅｂａｃｋａｐｐｒｏａｃｈｅｓ．Ｉｎ：ＲｏｂｅｒｔＤｅｎｇ，Ｓｉｈａｎｅｄｓ．Ｐｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅ４ｔｈＢａｏ，ＪｉａｎｙｉｎｇＺｈｏｕ，ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅＩｎｆｏｒｍａｔｉｏｎａｎｄ ＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｅｃｕｒｉｔｙ．Ｌｏｎｄｏｎ，ＵＫ：Ｓｐｒｉｎｇｅｒ，２００２．３７－４８６ｌ 硕士学位论文参考文献 【５３】ＪｅｎｓｈｉｕｈＬｉｕ，Ｚｈｉ—ＪｉａｎＬｅｅ，Ｙｅｈ—ＣｈｉｎｇＣｈｕｎｇ．Ｄｙｎａｍｉｃｐｒｏｂａｂｉｌｉｓｔｉｃｐａｃｋｅｔ ｍａｒｋｉｎｇｆｏｒｅｆｆｉｃｉｅｎｔＩＰｔｒａｃｅｂａｃｋ．ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｓ，２００７，５１（３）：４７５－４８０ 【５４】ＡＩＴＩＯｎＢｏｎｅｈ，ＭｉｃｈａＨｏｆｒｉ．Ｔｈｅｃｏｕｐｏｎ—ｃｏｌｌｅｃｔｏｒｐｒｏｂｌｅｍｒｅｖｉｓｉｔｅｄ—ａｓｕｒｖｅｙｏｆ ｅｎｇｉｎｅｅｒｉｎｇｐｒｏｂｌｅｍｓａｎｄｃｏｍｐｕｔａｔｉｏｎａｌｍｅｔｈｏｄｓ．ＳｔｏｃｈａｓｔｉｃＭｏｄｅｌｓ，１９９７， ｌ３（１），３９－６６ 【５５】ＡｎｄｒｅｙＢｅｌｅｎｋｙ，ＮｉｒｗａｎＡｎｓａｒｉ．ＩＰＴｒａｃｅｂａｃｋＷｉｔｈＤｅｔｅｒｍｉｎｉｓｔｉｃＰａｃｋｅｔ Ｍａｒｋｉｎｇ．ＣｏｍｍｕｎｉｃａｔｉｏｎｓＬｅｔｔｅｒｓ，ＩＥＥＥ，２００３，７（４）：１６２－１６４ 【５６】李德全．拒绝服务攻击对策及网络追踪的研究：【博士学位论文】．北京：中国 科学院研究生院（软件研究所）．２００４ 【５７］ＩｎｔｅｒｎｅｔＭａｐｐｉｎｇＰｒｏｊｅｃｔ．ｈｔｔｐ：／／ｗｗｗ．１ｕｍｅｔａ．ｃｏｍ／ｉｎｔｅｍｅｔｍａｐｐｉｎｇ 【５８】ＡｌｅｆｉｙａＨｕｓｓａｉｎ，ＪｏｈｎＨｅｉｄｅｍａｎｎ，ＣｈｒｉｓｔｏｓＰａｐａｄｏｐｏｕｌｏｓ．ＡＦｒａｍｅｗｏｒｋｆｏｒ ＣｌａｓｓｉｆｙｉｎｇＤｅｎｉａｌｏｆＳｅｒｖｉｃｅＡｔｔａｃｋｓ．Ｉｎ：ＡＣＭ，ＳＩＧＣＯＭＭ，ｅｄｓ．Ｐｒｏｃｅｅｄｉｎｇｏｆｔｈｅ２００３ｃｏｎｆｅｒｅｎｃｅｏｎＡｐｐｌｉｃａｔｉｏｎｓ，ｔｅｃｈｎｏｌｏｇｉｅｓ，ａｒｃｈｉｔｅｃｔｕｒｅｓ，ａｎｄｐｒｏｔｏｃｏｌｓｆｏｒｃｏｍｐｕｔｅｒｃｏｍｍｕｎｉｃａｔｉｏｎｓ．Ｋａｒｌｓｒｕｈｅ，Ｇｅｒｍａｎｙ：ＡＣＭ，２００３．９９－１１０ 【５９】ＣｈｅｎＲｕｉｌｉａｎｇ，ＰａｒｋＪｕｎｇ－Ｍｉｎ，ＭａｒｃｈａｎｙＲａｎｄｏｌｐｈ．ＮＩＳｐｌ一０５：ＲＩＭ：Ｒｏｕｔｅｒ ＩｎｔｅｒｆａｃｅＭａｒｋｉｎｇｆｏｒＩＰＴｒａｃｅｂａｃｋ．Ｉｎ：ＩＥＥＥ，ｅｄｓ．ＧｌｏｂａｌＴｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓＣｏｎｆｅｒｅｎｃｅ，２００６．ＧＬＯＢＥＣＯＭ’０６．ＩＥＥＥ．ＳａｎＦｒａｎｃｉｓｃｏ，ＣＡ，ＵＳＡ：ＩＥＥＥ， ２００７．１－５ Ｋｕｒｏｓｅ，ＫｅｉｔｈＲｏｓｓ．ＣｏｍｐｕｔｅｒＮｅｔｗｏｒｋｉｎｇ：ＡＴｏｐ—ＤｏｗｎＡｐｒｏａｃｈ ＦｅａｔｕｒｉｎｇｔｈｅＩｎｔｅｍｅｔ．Ｂｏｓｔｏｎ，ＭＡ，ＵＳＡ：Ａｄｄｉｓｏｎ—ＷｅｓｌｅｙＬｏｎｇｍａｎＰｕｂｌｉｓｈｉｎｇＣｏ．，Ｉｎｃ． Ｃｉｓｃｏ１２８１６ＤａｔａＳｈｅｅｔ．ｈｔｔｐ：／／ｗｗｗ．ｃｉｓｃｏ．ｃｏｍ／ｅｎ／ＵＳ／ｐｒｏｄｕｃｔｓ／ｈｗ／ｒｏｕｔｅｒｓ／ ｐｓｌ６７／ｐｒｏｄｕｃｔｓｄａｔａｓｈｅｅｔ０９１８６ａ００８０１ｄｆ２０ｄ．ｈｔｍｌ６２【６０】Ｊａｍｅｓ【６１１ 硕士学位论文致谢 致谢 在论文即将完稿之际，回首漫漫求学路，我有幸得到了众多老师、同学、朋友和家人的关心、支持和帮助，在此我要向他们表示衷心的感谢！ 首先，我要感谢我的导师费耀平教授。在本课题的研究、设计、调试和论文撰写过程中，我得到了导师的悉心指导和亲切关怀。导师深厚的理论基础、丰富的实践经验、敏锐的思维、见微知著的洞察力、严谨的治学态度和永不懈怠的工作作风，在给我留下深刻印象的同时，也成为我学习的光辉榜样。导师严格自律的精神、高尚的师德和高境界的个人修养无疑也将是我以后学习、工作的参照和指导。在此，对导师的关心和指导表示衷心的感谢。 感谢李敏博士、李典斌工程师等在工作和学习方面给予我的悉心指导和热情帮助，在此我向他们表示忠心的感谢和良好的祝愿！ 感谢实验室全体同学和朋友们，感谢他们在学习和生活中给予我无私的支持和帮助。他们给了我宽松，活跃的学习和生活环境，与他们的讨论常常使我茅塞顿开、受益匪浅。 感谢我的父母，感谢他们的养育之恩。感谢我的女朋友，一直以来对我的关心，鼓励和支持。他们的关心、理解和支持为我的成长提供了源源不断的信心和动力。我很难用语言来表达我此时的感激之情。 感谢所有关心和帮助我的人，谨以此文献给他们。 唐俊２００８年５月于长沙 ６３