[发明专利]基于FRIT的攻击溯源方法

摘要

本发明公开了一种基于FRIT的攻击溯源方法，所述方法结合数据包标记和路由记录两种方法进行溯源，首先，将路由器接口编号为0‑n；其次，将数据包的标记值设为该数据包转入到路由器所经过的接口的编号，并将数据包的旧标记值存储在路由器中，从而达到标记攻击路径的作用；最后，通过标记值和路由器日志重构攻击路径以达到溯源目的。本发明所提出的攻击溯源方案FRIT仅需一个数据包即可完成溯源任务，大大减少了溯源过程的复杂程度，并且在保证溯源精确率的同时对减缓了路由器的存储负担。

主权项

1.一种基于FRIT的攻击溯源方法，其特征在于所述方法包括如下步骤：步骤一、数据包标记与日志记录(1)将路由器接口编号为0‑n，在路由器中建立一个动态二维数组，n为路由器的连接接口的总数；(2)假设路由器k接受数据包的上游路由器接口号为UP_k，数据包转出的接口号为DW_k，数据包中标记值为mark，则在路由器k的动态二维数组中设置RT[UP_k][DW_k]＝mark，并将数据报中标记值mark更新为UP_k，即mark_new＝UP_k，然后转发此数据包，直至到达受害者；步骤二、攻击溯源(1)假设受害者最终收到的数据包标记值为mark_req，数据包转入受害者主机所经过的接口为UP_k，则将带有mark_req值溯源请求包从UP_k所对应的接口转出；(2)假设路由器k接受溯源请求数据包的上游路由器接口号为UP_k，数据包转出的接口号为DW_k，数据包中请求标记值为mark_req，首先判断mark_req所对应的接口是否为边界路由器，如果是，则找到攻击者所在局域网，如果不是，则将溯源请求数据包的标记值mark_req_new设为RT[mark_req][UP_k]，并将溯源请求数据报从mark_req所对应的接口转出；重复此过程直至找到攻击者所在局域网。