[发明专利]基于模运算的拒绝服务攻击返回追踪方法

说明书

技术领域

本发明涉及网络攻击防范技术领域，具体地，涉及一种基于模运算的拒绝服务 攻击返回追踪方法。

背景技术

黑客利用网络协议缺陷发起的拒绝服务(DenialofService，DoS)攻击是最常见的 一种网络攻击，旨在使目标系统无法提供正常的服务或资源访问。DoS攻击每年造成高 达上千万美元的商业损失，是造成互联网财产损失第二多的网络攻击类型，而且攻击者 可利用网络上已被攻陷的大量主机组建僵尸网络(Botnet)，控制其向某一特定目标发动 密集式的拒绝服务攻击，即分布式拒绝服务攻击(DistributedDoS，DDoS)。DoS攻击 由于其实现简单、追踪困难、后果严重等特点，严重威胁着Internet及其基础设施的安 全。

在抵制DoS网络攻击的各种方法中，IP返回追踪(IPTraceback)技术是一种非常 有威慑力的防御方法。但是，由于IP协议设计之初，没有考虑验证网络数据包源IP地 址的真实性，致使攻击者常常采取伪造自身IP地址的方法来隐藏自身、逃避罪责，这 给及时定位、应对DoS攻击及攻击发生后的司法取证都带来一定的困难。为了有效识别 DoS攻击的源头，国内外学者提出包记录、包标记及结合以上两者的混合追踪算法。其 中，由于包标记方法不会带来额外的网络负载，具有一定的抗伪造能力和可扩展性，已 成为返回追踪的主流方法。典型的包标记算法有：静态概率标记(PPM)、动态概率标 记(DPPM)和基于互联网控制报文协议(ICMP)的标记(iTrace)。其中，PPM方法中 路由器以固定概率将IP地址写入数据包头部中不用或保留的字段，受害者端根据接收 到的标记信息重构流转发路径。该方法存在的问题是标记空间受限，可能出现标记信息 完全损失而无法重构攻击路径的情况，如何选择标记概率是一个难点。DPPM有效实现 了标记概率随路由跳数的动态变化，达到了路由器最终标记概率的均匀分布，但是仍然 受标记空间的限制。iTrace的基本思想是路由器以一定的概率取样被转发分组，并把分 组及邻接路由器的信息复制到一个特定的ICMP分组中，然后发送该ICMP分组到相同 的目的地址，受害者分析相关ICMP包即可重构路径。该方法可用于追踪各种协议类型 的数据包，但iTrace是一种带外消息传递(out-of-bandsignaling)的方法，给网络传输 造成额外负担。

为了确保互联网的安全可靠运行，需要寻求一种快速定位攻击源的有效方法，达到 及时切断攻击源头、阻止恶意攻击进一步扩散的目的。经文献检索发现，现有拒绝服 务攻击源头返回追踪的方法有以下几种：

(1)确定包标记(DeterministicPacketMarking,DPM)

该方法需要一个入口边界路由器来对数据包进行标记。所谓入口边界路由器，是指 攻击者发出的数据包经过的第一个路由器，即数据包进入网络的入口点。这些部署追踪 机制的入口边界路由器对经过它们的数据包进行确定标记(标记概率为1)。同时，也只 有入口边界路由器进行标记工作，在包的整个传递过程中，攻击路径上的其它路由器均 不做标记。因此，DPM只标记攻击包入口点的信息，而非整条路径的信息。受害者根 据攻击包中携带的入口边界路由器的地址信息，可获知数据包是从哪里进入网络的，从 而追溯到攻击源。DPM具有实现简单、计算开销小等优点，但也有误报率高、漏报率 高、边界路由器负担过重等缺点。

(2)概率包标记(ProbabilisticPacketMarking,PPM)

路由器以一定的概率将其地址信息标记到经过的数据包中。PPM中攻击路径上的所 有路由器参与标记工作，而非只有入口边界路由器。PPM不仅可以定位攻击源，还可以 重构整条攻击路径。但是这种基本包标记存在标记空间受限、IPSpoofing、最弱链等问 题，由此提出了高级概率包标记(AdvancedPPM)和认证概率包标记(AuthenticatedPPM)。 高级包标记方法写入数据包的标记信息不再是IP地址，而是IP地址的hash值，从而缓 解了标记空间受限的问题。认证包标记在标记数据包时，还要对标记内容进行加密以达 到认证的目的，从而解决了IPSpoofing问题。不管是基本包标记、高级包标记，还是认 证包标记，其路由在决定是否标记一个数据包时，所用概率p是固定的。固定概率的优 点是实现简单，缺点是会引发最弱链问题，而最弱链问题会导致受害者在重构时收敛性 能的严重下降。