專利名稱:一種基于自治域系統(tǒng)的DDoS攻擊追蹤方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種針對自治域系統(tǒng)的分布式拒絕服務(wù)攻擊(DDoS)的攻擊源追蹤方法�����,主要用于解決發(fā)生DDoS攻擊的情況下,查找攻擊源所在的自治域并找出攻擊入口路由器����,從而在攻擊源頭遏制攻擊。
背景技術(shù):
20世紀(jì)90年代以來�,因特網(wǎng)得到了突飛猛進(jìn)的發(fā)展,因特網(wǎng)把人們的工作�,學(xué)習(xí)和生活緊密地聯(lián)系在一起,涉及到教育��,經(jīng)濟(jì)�,政治,軍事等各行業(yè)和部門�,其已經(jīng)成為整個(gè)社會(huì)基礎(chǔ)設(shè)施的重要組成部分。目前因特網(wǎng)中的網(wǎng)絡(luò)安全的威脅主要來自黑客入侵攻擊����,計(jì)算機(jī)病毒和分布式拒絕服務(wù)攻擊(DDoS)三個(gè)方面。DDoS攻擊屬于網(wǎng)絡(luò)上的主動(dòng)攻擊形式����,它不入侵目標(biāo)主機(jī),不竊取修改主機(jī)內(nèi)的數(shù)據(jù)��,而是使Internet中的受攻擊對象(主 機(jī)���,服務(wù)器���,路由器等所有網(wǎng)絡(luò)設(shè)備)無法提供或接受服務(wù)���,如使受攻擊的主機(jī)系統(tǒng)癱瘓�;使受攻擊的主機(jī)服務(wù)失效,合法用戶無法得到相應(yīng)的資源����;使受攻擊的主機(jī)用戶無法使用網(wǎng)絡(luò)連接等。在眾多DDoS防御技術(shù)中�,追蹤技術(shù)占有舉足輕重的地位,追蹤技術(shù)用于定位DDoS攻擊的源頭��,有助于收集攻擊證據(jù)����,為追究其責(zé)任提供法律依據(jù)。數(shù)據(jù)包標(biāo)記追蹤只需較小的人工管理量就能追蹤多個(gè)攻擊源��,成為當(dāng)前DDoS攻擊防御技術(shù)的熱點(diǎn)�����。數(shù)據(jù)包標(biāo)記方法是2000年由Savage等人提出的��,路由器以一定的概率對數(shù)據(jù)包進(jìn)行標(biāo)記�����,標(biāo)記內(nèi)容包括攻擊路徑上任兩個(gè)路由器的地址��,即攻擊路徑上的“邊”以及“邊”到攻擊目標(biāo)的距離��。被攻擊者根據(jù)受到的標(biāo)記過的數(shù)據(jù)包中的相應(yīng)信息進(jìn)行攻擊路徑的恢復(fù)�����。這種標(biāo)記方法在短距離攻擊事件的追蹤中有良好的表現(xiàn)�,而在長距離攻擊事件的追蹤則表現(xiàn)很差���,另外這種標(biāo)記方法要求因特網(wǎng)中所有路由器都參與標(biāo)記����,這需要路由器廠商和網(wǎng)絡(luò)服務(wù)供應(yīng)商(ISP)的支持����,由于管理或技術(shù)方面的原因���,實(shí)現(xiàn)起來很困難。目前���,因特網(wǎng)分成許多自治域系統(tǒng)(AS)分別進(jìn)行經(jīng)營和管理��,AS具有相對獨(dú)立性����,有各自統(tǒng)一的行政歸屬����,即ISP的管轄區(qū)。在安全防范上�����,AS也是整個(gè)網(wǎng)絡(luò)安全體系中相對獨(dú)立的基本單位��。有關(guān)數(shù)據(jù)統(tǒng)計(jì)��,因特網(wǎng)中大約有19000個(gè)AS����,而因特網(wǎng)中的AS數(shù)量遠(yuǎn)小于路由器的數(shù)量��,因此獲取AS的map圖是可行的��。ASN是Internet中標(biāo)識(shí)AS的全局唯一數(shù)字標(biāo)號(hào)����。ASN 由 IANA (Internet Assigned Numbers Authority)統(tǒng)一組織�����、分配和管理���。在AS中承擔(dān)路由選擇的路由器可分為兩類一類是AS的邊界路由器和主機(jī)所在局域網(wǎng)接入整個(gè)網(wǎng)絡(luò)的接入路由器�,統(tǒng)稱為入口路由器��;另一類是系統(tǒng)內(nèi)部承擔(dān)鏈路轉(zhuǎn)接的路由器�����,稱為內(nèi)部路由器�。
發(fā)明內(nèi)容
基于現(xiàn)有技術(shù)中存在的問題����,本發(fā)明提出了一種由入口路由器實(shí)施數(shù)據(jù)包的標(biāo)記方法����,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)DDoS攻擊跡象時(shí)��,目的主機(jī)提取和分析入口路由器標(biāo)記過的數(shù)據(jù)包信息����,還原出入口,如果攻擊來自網(wǎng)絡(luò)內(nèi)部�,可直接對入口路由器進(jìn)行限流等防御措施;如果攻擊來自其它的自治域系統(tǒng)�,則可以把入口路由器編號(hào)告知給攻擊源所在自治域系統(tǒng)的ISP,由其負(fù)責(zé)對相應(yīng)入口路由器進(jìn)行防御措施����。本發(fā)明的技術(shù)方案是一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法,包括標(biāo)記方法和路徑重構(gòu)方法��;
所述標(biāo)記方法的標(biāo)記信息(flag����,ASID, INRID, hop)包含四個(gè)標(biāo)記字段,其中flag字段用于表示數(shù)據(jù)包是否被標(biāo)記過����;ASID字段用于記錄自治域系統(tǒng)的ASN ;INRID字段用于記錄入口路由器的編號(hào)�;hop字段用于表示該自治域系統(tǒng)與目標(biāo)主機(jī)所在自治域系統(tǒng)的距離�,所述標(biāo)記方法的步驟為
步驟1-1入口路由器接收到數(shù)據(jù)包后,首先檢查flag字段的值���,若flag字段值為0��,進(jìn)入步驟1-2 �;
步驟1-2選取一隨機(jī)數(shù)U�����,并將u與標(biāo)記概率P比較�,如果u〈p進(jìn)入步驟1-3,否則進(jìn)入步驟1-4 ����;
步驟1-3入口路由器將其所在的ASN寫入ASID字段,將其路由器ID寫入INRID字段�����,將跳數(shù)hop字段賦初始值0�,并將flag字段值改為I ;
步驟1-4入口路由器需檢查hop字段,若hop字段等于0�,則將其所在ASN與ASID字段值異或操作,重新填入ASID字段�����,并將hop字段值加I ;若hop字段不等于0����,將hop字段值加I。所述重構(gòu)方法具體的步驟為
步驟2-1目標(biāo)主機(jī)將捕獲到的攻擊數(shù)據(jù)包�����,按照hop字段的值��,加入到集合S中�,并丟棄標(biāo)記信息完全相同的數(shù)據(jù)包。步驟2-2在集合S中取hop值為O的攻擊數(shù)據(jù)包��,標(biāo)記信息中的ASID字段即為將目標(biāo)主機(jī)所在自治域系統(tǒng)的ASN �;
步驟2-3在集合S中取hop值為I的攻擊數(shù)據(jù)包的ASID字段進(jìn)行異或操作,即得到上一跳自治域系統(tǒng)的ASN;
步驟2-4依據(jù)步驟2-3的方式在集合S中依次取hop值進(jìn)行處理����,即得到發(fā)起DDoS攻擊的自治域系統(tǒng)���,檢查所述自治域系統(tǒng)標(biāo)記數(shù)據(jù)包的INRID字段,獲取攻擊的入口路由器地址��。所述標(biāo)記信息字段在IP報(bào)文頭�,所述flag字段占用TOS field的第一位,所述ASID字段占用整個(gè)Identification field域����;所述INRID字段占用整個(gè)Offset field域;所述hop字段占用TOS field域的第二至第五位�����。所述標(biāo)記概率P=I/ (dv+l)�,其中dv是所在自治域系統(tǒng)到目標(biāo)主機(jī)之間的跳數(shù)。進(jìn)一步�����,為了快速計(jì)算��,所述標(biāo)記概率ρ=0· 25�����。本發(fā)明提出了一種基于自治域系統(tǒng)的DDoS攻擊追蹤方法��,主要用于在發(fā)生DDoS攻擊時(shí)����,能快速追蹤到攻擊源所在AS和找到入口路由器,從而在源頭抑止攻擊的繼續(xù)以及為追究攻擊者的責(zé)任提供證據(jù)等��。使用該方法�,有以下一些優(yōu)點(diǎn)
I.優(yōu)良的收斂性;以往的一些方案���,采用了標(biāo)記信息分片的機(jī)制�,在重構(gòu)路徑時(shí)需要分片的組裝和驗(yàn)證�����,當(dāng)面對大規(guī)模的DDoS攻擊時(shí)��,誤報(bào)率和網(wǎng)絡(luò)開銷都很大����。本發(fā)明提出的方法不需對標(biāo)記信息分片處理,計(jì)算負(fù)荷和路徑重構(gòu)消耗都較低���,得到理想的收斂效果�����。2.占用資源少����;在本發(fā)明的標(biāo)記方法中,用入口路由器代替沿路徑全部路由器���,使得參與標(biāo)記的路由器數(shù)量大大減少�����,占用資源少���,實(shí)施更簡單。3.良好的擴(kuò)展性���;在本發(fā)明的標(biāo)記方法中����,使用ASN和路由器編號(hào)代替?zhèn)鹘y(tǒng)算法中的路由器IP地址���,適合于進(jìn)一步在IPV6環(huán)境中改進(jìn)使用��。
圖I是本發(fā)明的追蹤方法的流程示意 圖2是數(shù)據(jù)包重載格式示意 圖3是攻擊路徑不意 圖4是入口路由器的標(biāo)記方法流程 圖5是ASID字段異或計(jì)算不意圖�;
圖6是目的主機(jī)上的路徑重構(gòu)方法流程圖。
具體實(shí)施例方式下面結(jié)合具體的實(shí)例對本發(fā)明作進(jìn)一步的闡述�。如圖I所示�,首先入口路由器按一定的概率對數(shù)據(jù)包進(jìn)行標(biāo)記,然后目標(biāo)主機(jī)提取攻擊數(shù)據(jù)包��,進(jìn)行路徑重構(gòu)得到攻擊路徑經(jīng)過的AS����,最終確認(rèn)入口路由器。一.標(biāo)記概率的選取
設(shè)一條攻擊路徑經(jīng)過d個(gè)AS���,每個(gè)AS上的入口路由器都以概率P對數(shù)據(jù)包進(jìn)行標(biāo)記����,那么每個(gè)數(shù)據(jù)包經(jīng)過d個(gè)節(jié)點(diǎn)被標(biāo)記概率的至少是dp(l — pZ'由不平均概率coupon collector問題可知�����,重構(gòu)攻擊路徑所需的數(shù)據(jù)包的數(shù)量最多是
h<rf)+oa)
N(d)^ J �。所以重構(gòu)路徑所需的數(shù)據(jù)包數(shù)量與路徑長度d和標(biāo)記概率p有關(guān)����,選取一個(gè)合適的標(biāo)記概率對快速進(jìn)行路徑重構(gòu)至關(guān)重要�。由上述公式可知,當(dāng)數(shù)據(jù)包被哪個(gè)入口路由器標(biāo)記的概率都是Ι/d時(shí)��,路徑重構(gòu)所需的數(shù)據(jù)包最少��。此時(shí)入口路由器Ri標(biāo)記數(shù)據(jù)包的概率是Pi=I/(dv+l)�����,也就是說����,每個(gè)入口路由器標(biāo)記數(shù)據(jù)包的概率是該數(shù)據(jù)包到目的主機(jī)的距離加I的和的倒數(shù),其中dv是所在AS域到目標(biāo)主機(jī)之間的跳數(shù)�����。這是一種最理想的標(biāo)記概率��,但要獲取dv的值需借助于整個(gè)因特網(wǎng)拓?fù)浣Y(jié)構(gòu)和相關(guān)協(xié)議的支持��。為了方便計(jì)算,這里統(tǒng)一取標(biāo)記概率P=O. 25���,因?yàn)樵?9. 5%的情況下�,因特網(wǎng)中的一個(gè)數(shù)據(jù)包在到達(dá)目的地址之前中間跨越的AS數(shù)量不超過7個(gè)��,通常情況下跨越的AS數(shù)量為4至5個(gè)����,并且通過大量實(shí)驗(yàn)驗(yàn)證,P取O. 25是一種效果較好的概率取值��。二.數(shù)據(jù)包的重載格式
因特網(wǎng)中ASN是Internet中標(biāo)識(shí)AS的全局唯一數(shù)字標(biāo)號(hào)���。ASN由IANA統(tǒng)一組織、分配和管理���,固定程度為16bit����。目前���,絕大多數(shù)AS的入口路由器的數(shù)量少于1000�,極少數(shù)的大型AS的入口路由器數(shù)量不超過2000。因此����,用13bit的長度就足以容納任何一個(gè)AS的入口路由器數(shù)量。此外�����,在99. 5%的情況下��,因特網(wǎng)中的一個(gè)數(shù)據(jù)包在到達(dá)目的地址之前中間跨越的AS數(shù)量不超過7個(gè)��,所以這里設(shè)置的hop字段4bit也足夠了���。如圖2 所不�����,在 IPv4 中��,數(shù)據(jù)包頭的 Identification field (16bit)和 Offsetfield (13bit)是用于數(shù)據(jù)包分片及分片重組的��,而大約只有不到O. 25%的數(shù)據(jù)包受到分片處理�����,這兩個(gè)域很少被使用�;另外數(shù)據(jù)包頭的TOS field (8bit)是用于數(shù)據(jù)流特殊用途的處理,目前已很少使用到���,重置這三個(gè)域不會(huì)影響到絕大多數(shù)的網(wǎng)絡(luò)使用����。所以����,數(shù)據(jù)包標(biāo)記信息中的四個(gè)標(biāo)記部分就重載在這三個(gè)IP域中。其中ASID字段放在Identificationfield中�,INRID字段放在Offset field中,flag字段放在TOS field的第一位�����,hop字段放在TOS field的第二至第五位��。數(shù)據(jù)包的重載格式如圖2所示�����。三.INRID字段與入口路由器實(shí)際IP地址的對應(yīng)轉(zhuǎn)換
在每個(gè)AS內(nèi)��,給每個(gè)入口路由器分配一個(gè)編號(hào)��,并維持一個(gè)動(dòng)態(tài)的入口路由器編號(hào)表INT (Ingress Number Table), INT中記錄著所有的入口路由器IP地址和其對應(yīng)的編號(hào)�。INT表只需極小的存儲(chǔ)空間,可方便地存放在網(wǎng)絡(luò)管理中心或相應(yīng)服務(wù)器上���,甚至可以保存在某一個(gè)主機(jī)上���。這樣,一個(gè)終端系統(tǒng)就不能根據(jù)所接收數(shù)據(jù)包的標(biāo)記信息推知某路由器的IP地址��,從而保護(hù)了 AS的拓?fù)潆[秘性���。四.追蹤方法的具體實(shí)施
如圖3所示�����,有兩條攻擊路徑���,分別用虛線表示。一條攻擊路徑由攻擊者I開始�����,沿途經(jīng)過AS1、AS4和AS6三個(gè)AS�,最后到達(dá)目的主機(jī)。連接ASl和AS4就形成了以ASl為起始點(diǎn)�、AS4為終點(diǎn)的有向邊,同樣�,AS4和AS6也構(gòu)成兩個(gè)AS間的有向邊,這樣����,就可以構(gòu)成一條連接AS的攻擊路徑了。標(biāo)記方法只在入口路由器上執(zhí)行����,在AS的內(nèi)部路由器上不執(zhí)行。標(biāo)記過程中要用到(flag�����,ASID, INRID, hop)四個(gè)字段flag字段����,用來表示該數(shù)據(jù)包是否被標(biāo)記過����;ASID字段����,用來存放AS的ID編號(hào)����;INRID字段,用來存放入口路由器的編號(hào)�;hop字段,用來存放標(biāo)記數(shù)據(jù)包的AS域與目標(biāo)主機(jī)的相對距離�。以數(shù)據(jù)包從外向內(nèi)進(jìn)入ASl開始為例,具體的標(biāo)記過程如圖4所示�;
I、任何接收到數(shù)據(jù)包的入口路由器首先檢查flag字段的值�����。flag字段的值等于0���,說明該數(shù)據(jù)包還未被標(biāo)記過可以標(biāo)記此包����。2�����、此時(shí)選取O — I之間的隨機(jī)數(shù)U,并將其與簇頭節(jié)點(diǎn)標(biāo)記概率/7比較�����,如果大于則不標(biāo)記��,如果小于則標(biāo)記���。3�����、當(dāng)該入口路由器決定標(biāo)記數(shù)據(jù)包時(shí)�,把當(dāng)前AS的ASN (設(shè)為ASNl)寫入ASID字段�;把自己的路由器編號(hào)(設(shè)為INRl)寫入INRID字段JEhop字段的值記為O ;同時(shí)把flag字段的值記為I。此時(shí)該數(shù)據(jù)包的標(biāo)記信息為(1����,ASN1,INR1����,0)���。4��、當(dāng)該數(shù)據(jù)包進(jìn)入AS4時(shí)���,檢查到flag字段值等于1�����,說明已經(jīng)被上游AS的入口路由器標(biāo)記過���,就不再重復(fù)標(biāo)記該數(shù)據(jù)包了。此時(shí)檢查hop字段����,如果hop字段的值等于0,就把自身AS的ASN (設(shè)為ASN2)與標(biāo)記信息中的ASID字段進(jìn)行異或操作�����,并把結(jié)果寫入ASID字段�,這樣就形成了攻擊路徑上的一條邊;同時(shí)把hop字段的值增加I�����。此時(shí)該數(shù)據(jù)包的標(biāo)記信息為(1,ASNl ASN2, INRl, I)�����。5����、當(dāng)該數(shù)據(jù)包進(jìn)入AS4時(shí),檢查到flag字段值等于I并且hop字段的值不等于0���,就只簡單地把hop字段的值增加I���。此時(shí)該數(shù)據(jù)包的標(biāo)記信息為(I, ASNl ASN2, INRl, 2)
入口路由器采用的標(biāo)記方法流程圖如圖4所示,偽代碼如下
//Marking procedure at Ingress Router N: // 普通節(jié)點(diǎn)的標(biāo)記方法 for each packet P if P. fIag=Olet u be a random number from
if u<=Pi
place ASN into P. ASIDplace ROUTER ID into P. INRIDplace 0 into P. hopplace I into P.flagelse
if (P. hop==0) then place P.ASID ASN into P.ASID P. hop+=l
如圖6所示�����,重構(gòu)中實(shí)現(xiàn)的具體步驟為 I���、在目標(biāo)主機(jī)上����,以Sd表示標(biāo)記hop字段為d的ASID的集合。接收到含有標(biāo)記信息的數(shù)據(jù)包后�,先將這些數(shù)據(jù)包的ASID字段的值與Sd中已有值比較,如果已經(jīng)存在相同的標(biāo)記值���,該ASID字段就不用加入到集合中了。2����、在集合S中取hop值為O的攻擊數(shù)據(jù)包,標(biāo)記信息中的ASID字段即為將目標(biāo)主機(jī)所在AS的ASN���。3�����、取hop值為I的攻擊數(shù)據(jù)包的ASID字段進(jìn)行異或操作��,因?yàn)锳SID字段包含兩個(gè)相鄰ASN的異或結(jié)果���,而a mum ,=b,即得到上一個(gè)相鄰AS的ASN,相應(yīng)過程如圖5所示���。
4�����、依次處理,一個(gè)hop連著一個(gè)hop,直到hop達(dá)到可能的最大值而不能繼續(xù)為止����。這樣就重構(gòu)出攻擊路徑中的全部AS,并找到攻擊者所在的AS�����。5�����、檢查攻擊者所在的AS標(biāo)記數(shù)據(jù)包的INRID字段���,通過查找該AS內(nèi)的入口路由器編號(hào)表INT���,即可獲取相應(yīng)的入口路由器地址,就可對該入口路由器采取相應(yīng)措施�����。如果該路由器是邊界路由器�,可在轉(zhuǎn)發(fā)目的地址為目的主機(jī)的數(shù)據(jù)包時(shí)啟動(dòng)攔截或過濾措施����;如果該路由器是主機(jī)所在局域網(wǎng)接入整個(gè)網(wǎng)絡(luò)的接入路由器�,則可通過DHCP等記錄進(jìn)一步追尋攻擊者的真實(shí)地址。所以�,當(dāng)發(fā)生單路徑攻擊時(shí),按照hop字段大小順序��,能直接提供攻擊路徑的恢復(fù)�。當(dāng)發(fā)生多路徑攻擊時(shí)�����,數(shù)據(jù)包中的標(biāo)記信息根據(jù)hop字段分組����,以恢復(fù)攻擊路徑。路徑重構(gòu)方法的流程圖如圖6所示�,偽代碼如下
// Reconstruction procedure at Victim// 目標(biāo)主機(jī)的路徑重構(gòu)方法
let Sd be empty for 0 d maxd //Sd 是 hop 為 d 的 ASN 的集合 if hop =0 then insert R into S0 for d:=0 to maxd for each y in Sd for each x in Wd// Wd 是 hop 為 d 的 ASID 的集合
X= Θ ASIDy insert x into Sd+1 output Sd for 0 ^ d ^ maxdoutput INRID of Sd
以上所述的實(shí)例只是用于 說明本發(fā)明,而不構(gòu)成對本發(fā)明的限制����。本領(lǐng)域的技術(shù)人員可以根據(jù)本發(fā)明公開的這些技術(shù)啟示做出各種不脫離本發(fā)明實(shí)質(zhì)的其它各種修改和變更,這些修改和變更仍然在本發(fā)明的保護(hù)范圍內(nèi)�。
權(quán)利要求
1.一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法,包括標(biāo)記方法和路徑重構(gòu)方法,其特征在于 所述標(biāo)記方法的標(biāo)記信息(flag��,ASID, INRID, hop)包含四個(gè)標(biāo)記字段��,其中flag字段用于表示數(shù)據(jù)包是否被標(biāo)記過����;ASID字段用于記錄自治域系統(tǒng)的ASN ;INRID字段用于記錄入口路由器的編號(hào);hop字段用于表示該自治域系統(tǒng)與目標(biāo)主機(jī)所在自治域系統(tǒng)的距離�,所述標(biāo)記方法的步驟為 步驟1-1入口路由器接收到數(shù)據(jù)包后,首先檢查 flag字段的值��,若flag字段值為0����,進(jìn)入步驟1-2 ; 步驟1-2選取一隨機(jī)數(shù)U����,并將其與標(biāo)記概率p比較,如果u〈p進(jìn)入步驟1-3�����,否則進(jìn)入步驟1-4 ���; 步驟1-3入口路由器將其所在的ASN寫入ASID字段��,將其路由器ID寫入INRID字段��,將跳數(shù)hop字段賦初始值0�,并將flag字段值改為I ; 步驟1-4入口路由器需檢查hop字段,若hop字段等于0�����,則將其所在ASN與ASID字段值異或操作��,重新填入ASID字段���,并將hop字段值加I ;若hop字段不等于0,將hop字段值加I ; 所述重構(gòu)方法具體的步驟為 步驟2-1目標(biāo)主機(jī)將捕獲到的攻擊數(shù)據(jù)包�,按照hop字段的值,加入到集合S中����,并丟棄標(biāo)記信息完全相同的數(shù)據(jù)包; 步驟2-2在集合S中取hop值為0的攻擊數(shù)據(jù)包����,標(biāo)記信息中的ASID字段即為將目標(biāo)主機(jī)所在自治域系統(tǒng)的ASN ���; 步驟2-3在集合S中取hop值為I的攻擊數(shù)據(jù)包的ASID字段進(jìn)行異或操作,即得到上一跳自治域系統(tǒng)的ASN; 步驟2-4依據(jù)步驟2-3的方式在集合S中依次取hop值進(jìn)行處理��,即得到發(fā)起DDoS攻擊的自治域系統(tǒng)�����,檢查所述自治域系統(tǒng)標(biāo)記數(shù)據(jù)包的INRID字段�,獲取攻擊的入口路由器地址。
2.根據(jù)權(quán)利要求I所述的一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法�,其特征在于所述標(biāo)記信息字段在IP報(bào)文頭。
3.根據(jù)權(quán)利要求I或2所述的一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法����,其特征在于所述flag字段占用TOS field的第一位,所述ASID字段占用整個(gè)Identificationfield域;所述INRID字段占用整個(gè)Offset field域�;所述hop字段占用TOS field域的第二至第五位。
4.根據(jù)權(quán)利要求I所述的一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法��,其特征在于所述標(biāo)記概率p=l/(dv+l)����,其中dv是所在自治域系統(tǒng)到目標(biāo)主機(jī)之間的跳數(shù)。
5.根據(jù)權(quán)利要求4所述的一種基于自治域系統(tǒng)的DDoS攻擊的追蹤方法��,其特征在于所述標(biāo)記概率P=O. 25。
全文摘要
本發(fā)明公開一種針對自治域系統(tǒng)的分布式拒絕服務(wù)攻擊(DDoS)的攻擊源追蹤方法�,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,其技術(shù)方案是首先入口路由器按一定的概率對數(shù)據(jù)包進(jìn)行標(biāo)記�,然后目標(biāo)主機(jī)提取攻擊數(shù)據(jù)包,進(jìn)行路徑重構(gòu)得到攻擊路徑經(jīng)過的AS���,最終確認(rèn)入口路由器����;該方法主要用于解決發(fā)生DDoS攻擊的情況下�����,查找攻擊源所在的自治域并找出攻擊入口路由器�,從而在攻擊源頭遏制攻擊��。
文檔編號(hào)H04L29/06GK102801727SQ20121028557
公開日2012年11月28日 申請日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者倪彤光, 顧曉清, 李玉 申請人:常州大學(xué)