返回
基于dos攻击随机数据包标记源跟踪算法

基于dos攻击随机数据包标记源跟踪算法

ID:19803348

大小:35.50 KB

页数:9页

时间:2018-10-06

基于dos攻击随机数据包标记源跟踪算法_第1页
基于dos攻击随机数据包标记源跟踪算法_第2页
基于dos攻击随机数据包标记源跟踪算法_第3页
基于dos攻击随机数据包标记源跟踪算法_第4页
基于dos攻击随机数据包标记源跟踪算法_第5页
资源描述:

《基于dos攻击随机数据包标记源跟踪算法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于DoS攻击的随机数据包标记源跟踪算法文章标题:[原创]基于DoS攻击的随机数据包标记源跟踪算法顶部饥饿加菲猫发布于:2005-11-0101:39[楼主][原创]基于DoS攻击的随机数据包标记源跟踪算法文章作者:饥饿加菲猫(QQ120474)信息来源:邪恶八进制信息安全小组(www.eviloctal.com)摘要:针对互联网上Ri益猖獗的拒绝服务攻击(DoS),分析了传统的随机数据包标记算法的性能缺陷,提出一种新的基于散列消息鉴别码的返回跟踪算法HPPM,通过分析其性能指标,说明该算法提高了返回跟踪DoS攻击的效率和准确性。感谢帮过我的

2、几个高手袁哥[nsfocus],sunwear[E.S.T],isno[xfocus],scz[nsfocus]1.引言拒绝服务攻击,简称DoS(Denial-of-Service),是一种常见的黑客攻击行为。这种攻击行为通过发送带有虚假源地址的数据包请求,使网络服务器充斥大量等待回复的信息,消耗网络带宽或系统资源,使网络或系统服务负载过重,服务质量下降,直至瘫痪而停止正常的服务。有时,黑客为了提高攻击的效果,往往会联合多个攻击站点向受害者发动进攻。由于DoS攻击易于实施、难于防御,而且很难返回跟踪攻击源,使之成为一个严重侵扰网络服务提供商、

3、G0vernment机关和金融证券等机构正常运作的安全问题。2.IP返回跟踪相关技术为了彻底消除DoS攻击,必须追根溯源,找到真正的攻击机器或攻击者。这种方法被称为IP返回追踪技术(IPTraceback)。由于DoS攻击者在发送攻击数据包时往往会伪造源地址,使得IP返回追踪的难度很大。常用的IP返回追踪方法有:入口过滤(IngressFiltering)、连接测试(LinkTesting)、ICMP追踪[7]、登录分析(Logging)、源路径隔离引擎(SPIE)、IPSec追踪,以及随机数据包标记追踪(PPM)[2]。各种追踪技术之间的性

4、能比较,如表1所示。管理负担网络负担路由器负担分布式能力事后追踪能力预防/反应进入过滤中等低中等N/AN/A预防输入调试高低高好差反应控制流低高低差差反应登陆分析高低高极好极好反应ICMP追踪低低低好极好反应数据包标记低低低好极好反应表1几种IP返回追踪技术的性能比较[2]3.HPPMIP返回跟踪算法3.1PPM算法(ProbabilisticPacketMarking)随机数据包标记算法PPM的主要原理如下:路由器以一定的概率p(通常是1/25)[2],用其IP地址或IP地址的一部分随机标记经过它的数据包。当发生DoS攻击时,受害者根据其收

5、到的攻击数据包中的标记信息,重建攻击路径。使用PPM算法,路由器负担较小,采用标记边压缩和分片技术大大降低了额外的网络流量。而且,该方法可以在攻击结束以后对攻击源进行追踪。PPM对单源DoS攻击,有较好的追踪效果。但是,由于其自身缺陷,PPM算法无法很好地返回跟踪DDoS攻击(Distributed–Denial–of–Service)。首先,由于路由器以概率p随机标记数据包,就给攻击者以可乘之机,将伪造的标记信息写入攻击数据包的报头中(一般是Identifier字段),只要该数据包一直不被其经过的路由器标记,直至目标主机,就能在攻击路径中伪

6、造一条边路径,阻止受害者跟踪真正的攻击源。其次,为了节省存储空间,减小网络负担,PPM采用了边标记压缩和分片存储技术。但是,分片存储可能导致受害者将本不属于同一数据包的分片组合在一起,从而生成错误的边路径。而标记的边压缩方法主要依据(a○+b)○+b=a(a、b分别是攻击路径上相邻两个路由器的IP地址),将显著加剧这一效果,进一步生成错误的攻击路径。当发生DDoS攻击时,由于同一距离存在多个攻击者,而产生爆炸效果,影响将更加严重[2]。3.2HPPM算法针对PPM算法的上述缺陷,我们提出了一种基于散列消息鉴别码HMAC的数据包标记算法HPPM

7、,并采用新的标记重叠分片策略,以提高IP返回跟踪DoS攻击(特别是DDoS攻击)的性能。在该算法中,路由器Ri以概率p随机对经过它的数据包进行标记,标记信息包括Ri的IP地址和下一跳路由器Rj的IP地址,总共64位。为了节省标记存储空间,不给用户带来过多影响,算法使用IPv4首部中的16位标识符字段(Identifier),1位闲置的标志位(Flags)[1]和13位片位移字段(据统计,目前少于0.25%的数据包需要分片[2]),以及一般很少使用的8位TOS字段(Type-of-Service)[1],总共38位,来存储标记分片信息。64位标

8、记信息被分成k=8片,每片占用8位,分片偏移值占log2k=3位,Ri到目标主机的距离值占5位(25-1=31跳,适用于目前绝大多数网络[2]),用于验证的HMAC

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。