返回
基于as路径识别的包标记算法

基于as路径识别的包标记算法

ID:26475929

大小:52.00 KB

页数:6页

时间:2018-11-27

基于as路径识别的包标记算法 _第1页
基于as路径识别的包标记算法 _第2页
基于as路径识别的包标记算法 _第3页
基于as路径识别的包标记算法 _第4页
基于as路径识别的包标记算法 _第5页
资源描述:

《基于as路径识别的包标记算法 》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于AS路径识别的包标记算法摘要:本文提出了一种新的基于自治系统(AS)路径识别的包标记算法。它通过边界网关协议(BGP)路由器在其转发的数据包中标记当前AS的编号,受害者不仅可根据数据包中的标记信息重构出攻击包所经过的AS路径,追踪到攻击源所在的AS,还可以根据标记信息将拥有那些攻击路径的数据包过滤掉,从而能有效地缓解攻击流量对受害者的影响。该算法解决了传统标记算法中计算量大、误报率高等缺点,同时无须攻击路径中每个路由器都参与标记,极大地减少了路由器的开销。关键词:自治系统包标记网络安全0引言当今网络攻击中DDoS攻击是最为普遍、

2、最为有效的攻击手段,它具有易实施、难防范和追踪的特点,一直是Inter安全的一个严重威胁。针对这些特点,近年来该领域的研究人员提出了多种追踪攻击源方法,主要方法有:数据包标记、日志记录、连接测试、覆盖网络等。其中数据包标记中的普通路径识别方法(PathIdentification,简称PI)由于标记空间有限,它使用路由器IP地址的2位信息摘要来构建每个包的路径信息,导致相同的路径信息代表不同的路径(即误报率很高);而建立在普通路径识别方法基础之上的链路识别方法虽然采用Link-ID来代替IP地址,但由于每个Link-ID的编号大小和

3、数据包经过的Link-ID数目未知,Link-ID域有时要进行哈希处理,同样会导致相同的路径信息代表不同的路径。针对上述两种路径识别包标记方法的不足,本文提出了一种新的基于AS路径识别的包标记算法。1基于AS路径识别的包标记算法1.1算法基本思想当数据包到达自治系统的BGP路由器时,它先检查该包是否是来自其它的BGP路由器或其它的AS,如果不是的话,路由器标记它的信息作为该包的初始路由器信息,如果是的话,路由器检查该包的目的地址,如果目的地址在当前自治系统中,路由器标记它的信息作为该包的结束路由器信息;如果目的地址在其它的AS中,B

4、GP路由器用它所在的自治系统的ASN来标记数据包,也就是说,BGP路由器只对离开本AS去往其它AS的路由器的数据包才使用它所在的自治系统的ASN进行标记。1.2算法编码该算法的编码方案需要34位用于标记。为了充分利用IP包头中可用的空间,本方案除使用IP包头16位ID域之外,还通过重载偏移域和服务类型字段来获得更多的标记空间。初始路由器标识和结束路由器标识共16位刚好放在数据包头ID域中。其中,AS标识域又可细分成5个部分,每个部分存放16位AS编号的3位散列值,它的前4个部分放在偏移域中,最后一部分放在服务类型字段的3至5位,跳数

5、域存放在服务类型字段的后3位,与AS标识域的最后一部分紧邻。由于受害者所在自治系统的BGP路由器不参与AS标识域的标记,因此该算法至多有5个BGP路由器参与AS标识域的标记。跳数域的值随着每次BGP路由器标记AS标识而逐步加1,它作为AS标识域的索引来确定3位标记在AS标识域中的位置。1.3算法实现举例说明:AS1中的攻击者想对AS4中的受害者发起DoS攻击。当数据包到达AS1中的BGP路由器A时,路由器A检测出该数据包是来自当前自治系统,但没被初始化,于是路由器A在数据包包头初始路由器标识域中写上它的IP地址8位哈希值,作为初始路

6、由信息,同时将跳数域的值置0。然后根据数据包的目的地址找到下一跳路由信息(路由器B),发现不在当前自治系统中,于是递增跳数域的值(递增后的值为1),并将路由器A所在自治系统的编号的3位哈希值填写在与跳数域的值相对应的ASID域中,最后再将数据包转发给AS2中的BGP路由器B,至此路由器A对数据包的操作完毕。路由器B发现数据包是来自其它的自治系统,并且下一跳路由信息也在当前自治系统AS2中,它不做任何标记就把数据包转发给路由器C2。路由器C2发现数据包是来自其它的BGP路由器,然后根据数据包的目的地址找到下一跳路由信息(路由器D),发

7、现不在当前自治系统AS2中,于是递增跳数域的值(递增后的值为2),并将路由器C2所在自治系统的编号的3位哈希值填写在与跳数域的值相对应的ASID域中,最后再将数据包转发给AS4中的BGP路由器D,至此路由器C2对数据包的操作完毕。路由器D发现数据包是来自其它的自治系统,并且目的地址在当前自治系统AS4中,于是路由器D在数据包包头结束路由器标识域中写上它的IP地址8位哈希值,作为结束路由信息。至此该数据包标记过程完毕。受害者根据标记信息对数据包进行过滤。过滤时,我们采用门限过滤的思想,即允许受害者以提高假阳性比例为代价来减少假阴性比例

8、。门限过滤的真正目的是在能够接受大量合法用户数据包的前提下,允许接受少量的攻击包。这个门限是由受害者选择的一个值ti(0≤i<231),假设ai为带有标记i的攻击包的数目,ui为带有标记i的用户数据包数目。如果攻击包的数目与总的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。