探析IP地址为基础的重拼接的DDOS攻击源追踪算法

　　摘要：当前各类网络安全威胁中，拒绝服务攻击(DOS)和分布式拒绝服务攻击(DDOS)因其危害大、难以彻底防范、攻击来源难确定等成为网络攻击者最常采用的方法。为了隐藏其真实来源，它们利用伪装IP地址进行攻击，这是IP反向追踪困难的主要原因。但是，尽管IP数据包头地址是伪造的，然而数据包从源头到目的地所经过的路由器等网络转发设备还是会记录下攻击路径，利用这点我们可以重构攻击路径找到攻击源[1]。

　　关键词： DDOS攻击,地址拼接,追踪算法,IP数据包

　　中图分类号：TP393.08 文献标志码：A 文章编号：1006-8228(2012)05-35-02

　　0 引言

　　为了提高对分布式拒绝服务(DDoS)攻击源反向追踪的效率和准确度，提出了一个新算法。此算法不同于AMS(Advanced Marking Schemes)算法，是利用IP地址拼接技术，重定义IP数据包头部分字段，利用一种新的路由器地址编码格式，使得一个数据包携带更多路由地址信息，提高重构路径的效率，大幅降低误报率。相对于AMS算法,新算法明显提高了IP反向追踪的性能，降低了误报率。

　　1 数据包标记追踪算法

　　1.1 基本数据包标记算法[2]

　　Burch等提出，将路由信息全部插入数据包中，当受害者收到这些数据包时，从中即可获得相关路径信息，便可重构出攻击路径。但向数据包中插入过多的路由信息，会导致数据包长度超过路径的最大传输单元，造成数据包不必要的分段。

　　1.2 高级数据包标记(AMS)算法

　　AMS的主要思想是，将IP数据包头中标记域分为：distance域、flagID域和edge域，每个路由器以固定概率p决定是否标记数据包，把两个路由器地址信息“异或”后的Hash值插入数据包头标识域来减少存储空间。在重构路径中，AMS算法利用了“异或”的数学特性即a􀱇b􀱇a=b，从最后一个路由节点开始逐跳求出路由器地址信息，从而构造出整个攻击路径。

　　由于反向地址追踪的准确性和高效率是由每个数据包所携带的路由信息所决定的，如果数据包头能够携带更多信息，则能大幅降低重构路径算法的收敛时间和误报率。

　　2 IP地址拼接的包追踪算法

　　高级数据包标记虽然比基本数据包标记误报率有所降低，但是仍然不理想，这是由数据包头标记的格式所决定的[3]。本文提出一种新标记算法，通过改变IP数据包头中标记域编码格式，达到减少重构路径误报数量的目的。

　　2.1 算法思路

　　利用RF位在当前网络应用中未被使用特点，对IP数据包头中标识域(16bit)和RF位(1bit)的编码格式进行重定义，如图1所示。用20bit对路由器进行编码，并分为4个分片。当路由器决定标记一个数据包时，从4个分片中随机等概率将1个分片写入标记域block1中，偏移域offset则置为相应分片号。考虑到网络数据包从源到目的地址所经过节点数量不会超过32跳，将固定值32写入distance域，同时将block2置0。下游节点路由设备收到数据包，则执行以下动作：

　　⑴ 接到数据包后检查block1域，如果block1域通过验证，则该路由器从自己的20bit中取出对应分片写入block2中。

　　⑵ 如果block1和block2都通过验证，则不执行任何动作。