[发明专利]基于模运算的拒绝服务攻击返回追踪方法

权利要求书

1.一种基于模运算的拒绝服务攻击返回追踪方法，其特征在于，包括如下步骤：

步骤1：利用IP包头的标识域，即ID域，执行模运算包标记方法Modulo-arithmetic PacketMarking，简称MPM；

步骤2：利用节点采样方法转发路由器的节点信息，并将路由位置和路由地址写入 数据包的标记空间；

具体地，利用IP包头的ID域和Option域用作标记空间；选取标识flag字段记录数 据包是否被标记的信息，使用生命周期TimeToLive，简称TTL，记录数据包的当前TTL 值；使用IP地址字段记录当前路由器的IP地址；

步骤3：通过IP包头中ID域的值进行模运算，实现路由标记，即确定待转发数据 包由攻击路径上的哪个路由器执行标记运算；

步骤4：受害端通过检测数据包中的标记信息，进行路径重构。

2.根据权利要求1所述的基于模运算的拒绝服务攻击返回追踪方法，其特征在于， 所述步骤2中的路由位置是指当前路由在攻击者至受害者方向的攻击路径上的第几个路 由器；

路由地址是指当前路由在因特网中的IP地址，通过路由的IP地址信息能够在因特 网中精确定位当前路由器，其中路由IP地址的标记需4字节，即32比特。

3.根据权利要求2所述的基于模运算的拒绝服务攻击返回追踪方法，其特征在于， 所述步骤1中的模运算包标记方法是指通过待转发数据包的IP包头中的ID域的值进行 模运算，来确定被攻击路径上由哪个路由器来标记；

具体地，MPM只将5比特的路由位置信息填入ID域中，而将32比特的路由地址 信息填入IP包头的可选域，即option域，中；MPM还需在ID域中选取1比特空间作 为flag标志位，用来标识数据包是否已被标记。

4.根据权利要求3所述的基于模运算的拒绝服务攻击返回追踪方法，其特征在于， 所述步骤3中假设攻击路径上共有D个路由，其中D≤32，若当前数据包的标识字段的 值为ID^*，则计算出当前数据包应由攻击路径上第i个路由器来标记，其中1≤i≤D， 模运算计算公式如下：

i＝ID^*％32+1

式中，ID^*％32表示求余，且ID^*％32∈{0,1,2,…,31}，所以i∈{1,2,3,…,32}；

具体地，包括：

步骤3.1：当路由器收到一个数据包后，通过检测flag标志位的值来判断数据包是 否已被标记；若数据包尚未被标记，则计算出该数据包应由攻击路径上第i个路由器标 记；

步骤3.2：当前路由器根据该数据包IP包头中的TTL值计算出自己是攻击路径上第 i’个路由器，其中i’＝32-TTL；

步骤3.3：判断i’是否等于i，若i’＝i则路由器对该数据包进行标记，若i’≠i则不 对该数据包进行标记。

5.根据权利要求3所述的基于模运算的拒绝服务攻击返回追踪方法，其特征在 于，所述步骤4包括：

步骤4.1：受害端收到一个数据包后，检测flag标志位来判断数据包是否被标记过； 若该数据包被标记过，则受害者需利用该数据包携带的路由标记信息进行路径重构工作； 若该数据包未被标记过，则舍弃；

步骤4.2：判断数据包携带的路由标记信息是否为新的信息，若为重复信息则舍弃， 若为新信息则在攻击路径中加入对应的路由节点；

步骤4.3：判断整条攻击路径是否重构完成，若已全部重构完成，则终止重构程序， 若尚未重构完成，则继续处理下一个数据包。

6.根据权利要求1所述的基于模运算的拒绝服务攻击返回追踪方法，其特征在于， 在模运算包标记方法MPM中，具体地：

Flag用于标识数据包是否被标记，占ID域中的1比特空间，取值为0或1；若flag 为0表示数据包尚未被标记，若flag为1表示数据包已被标记；

TTL用于记录数据包的当前TTL值，占ID域中的5比特空间，取值范围为0～31；

IP地址用于记录当前路由器的IP地址，占Option域的32比特空间。