CN102801727A - 一种基于自治域***的DDoS攻击追踪方法 - Google Patents

Abstract

本发明公开一种针对自治域***的分布式拒绝服务攻击（DDoS）的攻击源追踪方法，属于网络安全技术领域，其技术方案是首先入口路由器按一定的概率对数据包进行标记，然后目标主机提取攻击数据包，进行路径重构得到攻击路径经过的AS，最终确认入口路由器；该方法主要用于解决发生DDoS攻击的情况下，查找攻击源所在的自治域并找出攻击入口路由器，从而在攻击源头遏制攻击。

Description

一种基于自治域***的DDoS攻击追踪方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种针对自治域***的分布式拒绝服务攻击（DDoS）的攻击源追踪方法，主要用于解决发生DDoS攻击的情况下，查找攻击源所在的自治域并找出攻击入口路由器，从而在攻击源头遏制攻击。

背景技术

20世纪90年代以来，因特网得到了突飞猛进的发展，因特网把人们的工作，学习和生活紧密地联系在一起，涉及到教育，经济，政治，军事等各行业和部门，其已经成为整个社会基础设施的重要组成部分。目前因特网中的网络安全的威胁主要来自黑客入侵攻击，计算机病毒和分布式拒绝服务攻击（DDoS）三个方面。DDoS攻击属于网络上的主动攻击形式，它不入侵目标主机，不窃取修改主机内的数据，而是使Internet中的受攻击对象(主机，服务器，路由器等所有网络设备)无法提供或接受服务，如：使受攻击的主机***瘫痪；使受攻击的主机服务失效，合法用户无法得到相应的资源；使受攻击的主机用户无法使用网络连接等。

在众多DDoS防御技术中，追踪技术占有举足轻重的地位，追踪技术用于定位DDoS攻击的源头，有助于收集攻击证据，为追究其责任提供法律依据。数据包标记追踪只需较小的人工管理量就能追踪多个攻击源，成为当前DDoS攻击防御技术的热点。数据包标记方法是2000年由Savage等人提出的，路由器以一定的概率对数据包进行标记，标记内容包括攻击路径上任两个路由器的地址，即攻击路径上的“边”以及“边”到攻击目标的距离。被攻击者根据受到的标记过的数据包中的相应信息进行攻击路径的恢复。这种标记方法在短距离攻击事件的追踪中有良好的表现，而在长距离攻击事件的追踪则表现很差，另外这种标记方法要求因特网中所有路由器都参与标记，这需要路由器厂商和网络服务供应商（ISP）的支持，由于管理或技术方面的原因，实现起来很困难。

目前，因特网分成许多自治域***（AS）分别进行经营和管理，AS具有相对独立性，有各自统一的行政归属，即ISP的管辖区。在安全防范上，AS也是整个网络安全体系中相对独立的基本单位。有关数据统计，因特网中大约有19000个AS，而因特网中的AS数量远小于路由器的数量，因此获取AS的map图是可行的。ASN是Internet中标识AS的全局唯一数字标号。ASN由IANA（Internet Assigned Numbers Authority）统一组织、分配和管理。在AS中承担路由选择的路由器可分为两类：一类是AS的边界路由器和主机所在局域网接入整个网络的接入路由器，统称为入口路由器；另一类是***内部承担链路转接的路由器，称为内部路由器。

发明内容

基于现有技术中存在的问题，本发明提出了一种由入口路由器实施数据包的标记方法，当发现网络中出现DDoS攻击迹象时，目的主机提取和分析入口路由器标记过的数据包信息，还原出入口，如果攻击来自网络内部，可直接对入口路由器进行限流等防御措施；如果攻击来自其它的自治域***，则可以把入口路由器编号告知给攻击源所在自治域***的ISP，由其负责对相应入口路由器进行防御措施。

本发明的技术方案是：一种基于自治域***的DDoS攻击的追踪方法，包括标记方法和路径重构方法；

所述标记方法的标记信息（flag,ASID,INRID,hop）包含四个标记字段，其中flag字段用于表示数据包是否被标记过；ASID字段用于记录自治域***的ASN；INRID字段用于记录入口路由器的编号；hop字段用于表示该自治域***与目标主机所在自治域***的距离，所述标记方法的步骤为：

步骤1-1 入口路由器接收到数据包后，首先检查flag字段的值，若flag字段值为0，进入步骤1-2；

步骤1-2选取一随机数u，并将u与标记概率p比较，如果u<p进入步骤1-3，否则进入步骤1-4；

步骤1-3入口路由器将其所在的ASN写入ASID字段，将其路由器ID写入INRID字段，将跳数hop字段赋初始值0，并将flag字段值改为1；

步骤1-4入口路由器需检查hop字段，若hop字段等于0，则将其所在ASN与ASID字段值异或操作，重新填入ASID字段，并将hop字段值加1；若hop字段不等于0，将hop字段值加1。

所述重构方法具体的步骤为：

步骤2-1 目标主机将捕获到的攻击数据包，按照hop字段的值，加入到集合S中，并丢弃标记信息完全相同的数据包。

步骤2-2在集合S中取hop值为0的攻击数据包，标记信息中的ASID字段即为将目标主机所在自治域***的ASN；

步骤2-3在集合S中取hop值为1的攻击数据包的ASID字段进行异或操作，即得到上一跳自治域***的ASN；

步骤2-4 依据步骤2-3的方式在集合S中依次取hop值进行处理，即得到发起DDoS攻击的自治域***，检查所述自治域***标记数据包的INRID字段，获取攻击的入口路由器地址。

所述标记信息字段在IP报文头，所述flag字段占用TOS field的第一位，所述ASID字段占用整个Identification field域；所述INRID字段占用整个Offset field域；所述hop字段占用TOS field域的第二至第五位。

所述标记概率p=1/(d_v+1)，其中d_v是所在自治域***到目标主机之间的跳数。

进一步，为了快速计算，所述标记概率p=0.25。

本发明提出了一种基于自治域***的DDoS攻击追踪方法，主要用于在发生DDoS攻击时，能快速追踪到攻击源所在AS和找到入口路由器，从而在源头抑止攻击的继续以及为追究攻击者的责任提供证据等。使用该方法，有以下一些优点：

1．优良的收敛性；以往的一些方案，采用了标记信息分片的机制，在重构路径时需要分片的组装和验证，当面对大规模的DDoS攻击时，误报率和网络开销都很大。本发明提出的方法不需对标记信息分片处理，计算负荷和路径重构消耗都较低，得到理想的收敛效果。

2．占用资源少；在本发明的标记方法中，用入口路由器代替沿路径全部路由器，使得参与标记的路由器数量大大减少，占用资源少，实施更简单。

3．良好的扩展性；在本发明的标记方法中，使用ASN和路由器编号代替传统算法中的路由器IP地址，适合于进一步在IPV6环境中改进使用。

附图说明

图1是本发明的追踪方法的流程示意图；

图2是数据包重载格式示意图；

图3是攻击路径示意图；

图4是入口路由器的标记方法流程图；

图5是ASID字段异或计算示意图；

图6是目的主机上的路径重构方法流程图。

具体实施方式

下面结合具体的实例对本发明作进一步的阐述。

如图1所示，首先入口路由器按一定的概率对数据包进行标记，然后目标主机提取攻击数据包，进行路径重构得到攻击路径经过的AS，最终确认入口路由器。

一．标记概率的选取

设一条攻击路径经过d个AS，每个AS上的入口路由器都以概率p对数据包进行标记，那么每个数据包经过d个节点被标记概率的至少是dp(1－p)^d-1。由不平均概率coupon collector问题可知，重构攻击路径所需的数据包的数量最多是：                                                。所以重构路径所需的数据包数量与路径长度d和标记概率p有关，选取一个合适的标记概率对快速进行路径重构至关重要。

由上述公式可知，当数据包被哪个入口路由器标记的概率都是1/d时，路径重构所需的数据包最少。此时入口路由器R_i标记数据包的概率是p_i=1/(d_v+1)，也就是说，每个入口路由器标记数据包的概率是该数据包到目的主机的距离加1的和的倒数，其中d_v是所在AS域到目标主机之间的跳数。这是一种最理想的标记概率，但要获取d_v的值需借助于整个因特网拓扑结构和相关协议的支持。为了方便计算，这里统一取标记概率p=0.25，因为在99.5％的情况下，因特网中的一个数据包在到达目的地址之前中间跨越的AS数量不超过7个，通常情况下跨越的AS数量为4至5个，并且通过大量实验验证，p取0.25是一种效果较好的概率取值。

二．数据包的重载格式

因特网中ASN是Internet中标识AS的全局唯一数字标号。ASN由IANA统一组织、分配和管理，固定程度为16bit。

目前，绝大多数AS的入口路由器的数量少于1000，极少数的大型AS的入口路由器数量不超过2000。因此，用13bit的长度就足以容纳任何一个AS的入口路由器数量。

此外，在99.5％的情况下，因特网中的一个数据包在到达目的地址之前中间跨越的AS数量不超过7个，所以这里设置的hop字段4bit也足够了。

如图2所示，在IPv4中，数据包头的Identification field（16bit）和Offset field（13bit）是用于数据包分片及分片重组的，而大约只有不到0.25％的数据包受到分片处理，这两个域很少被使用；另外数据包头的TOS field（8bit）是用于数据流特殊用途的处理，目前已很少使用到，重置这三个域不会影响到绝大多数的网络使用。所以，数据包标记信息中的四个标记部分就重载在这三个IP域中。其中ASID字段放在Identification field中，INRID字段放在Offset field中，flag字段放在TOS field的第一位，hop字段放在TOS field的第二至第五位。数据包的重载格式如图2所示。

三．INRID字段与入口路由器实际IP地址的对应转换

在每个AS内，给每个入口路由器分配一个编号，并维持一个动态的入口路由器编号表INT（Ingress Number Table），INT中记录着所有的入口路由器IP地址和其对应的编号。INT表只需极小的存储空间，可方便地存放在网络管理中心或相应服务器上，甚至可以保存在某一个主机上。这样，一个终端***就不能根据所接收数据包的标记信息推知某路由器的IP地址，从而保护了AS的拓扑隐秘性。

四．追踪方法的具体实施

如图3所示，有两条攻击路径，分别用虚线表示。一条攻击路径由攻击者1开始，沿途经过AS1、AS4和AS6三个AS，最后到达目的主机。连接AS1和AS4就形成了以AS1为起始点、AS4为终点的有向边，同样，AS4和AS6也构成两个AS间的有向边，这样，就可以构成一条连接AS的攻击路径了。标记方法只在入口路由器上执行，在AS的内部路由器上不执行。标记过程中要用到（flag,ASID,INRID,hop）四个字段：flag字段，用来表示该数据包是否被标记过；ASID字段，用来存放AS的ID编号；INRID字段，用来存放入口路由器的编号；hop字段，用来存放标记数据包的AS域与目标主机的相对距离。

以数据包从外向内进入AS1开始为例，具体的标记过程如图4所示；

1、任何接收到数据包的入口路由器首先检查flag字段的值。flag字段的值等于0，说明该数据包还未被标记过可以标记此包。

2、此时选取0－1之间的随机数u，并将其与簇头节点标记概率p比较，如果大于则不标记，如果小于则标记。

3、当该入口路由器决定标记数据包时，把当前AS的ASN（设为ASN1）写入ASID字段；把自己的路由器编号（设为INR1）写入INRID字段；把hop字段的值记为0；同时把flag字段的值记为1。此时该数据包的标记信息为（1,ASN1,INR1,0）。

4、当该数据包进入AS4时，检查到flag字段值等于1，说明已经被上游AS的入口路由器标记过，就不再重复标记该数据包了。此时检查hop字段，如果hop字段的值等于0，就把自身AS的ASN（设为ASN2）与标记信息中的ASID字段进行异或操作，并把结果写入ASID字段，这样就形成了攻击路径上的一条边；同时把hop字段的值增加1。此时该数据包的标记信息为（1,ASN1

ASN2,INR1,1）。

5、当该数据包进入AS4时，检查到flag字段值等于1并且hop字段的值不等于0，就只简单地把hop字段的值增加1。此时该数据包的标记信息为（1,ASN1

ASN2,INR1,2）

入口路由器采用的标记方法流程图如图4所示，伪代码如下：

//Marking procedure at Ingress Router N:    // 普通节点的标记方法

for each packet P  

   if P.flag=0

      let u be a random number from [0,1]

      if u<=p_i

        place ASN into P.ASID

place ROUTER ID into P.INRID  

        place 0 into P.hop

        place 1 into P.flag

          else

         if (P.hop==0) then

           place P.ASID

ASN into P.ASID

         P.hop+=1

如图6所示，重构中实现的具体步骤为：

1、在目标主机上，以S_d表示标记hop字段为d的ASID的集合。接收到含有标记信息的数据包后，先将这些数据包的ASID字段的值与S_d中已有值比较，如果已经存在相同的标记值，该ASID字段就不用加入到集合中了。

2、在集合S中取hop值为0的攻击数据包，标记信息中的ASID字段即为将目标主机所在AS的ASN。

3、取hop值为1的攻击数据包的ASID字段进行异或操作，因为ASID字段包含两个相邻ASN的异或结果，而a b

a＝b，即得到上一个相邻AS的ASN，相应过程如图5所示。    

4、依次处理，一个hop连着一个hop，直到hop达到可能的最大值而不能继续为止。这样就重构出攻击路径中的全部AS，并找到攻击者所在的AS。

5、检查攻击者所在的AS标记数据包的INRID字段，通过查找该AS内的入口路由器编号表INT，即可获取相应的入口路由器地址，就可对该入口路由器采取相应措施。如果该路由器是边界路由器，可在转发目的地址为目的主机的数据包时启动拦截或过滤措施；如果该路由器是主机所在局域网接入整个网络的接入路由器，则可通过DHCP等记录进一步追寻攻击者的真实地址。

所以，当发生单路径攻击时，按照hop字段大小顺序，能直接提供攻击路径的恢复。当发生多路径攻击时，数据包中的标记信息根据hop字段分组，以恢复攻击路径。

路径重构方法的流程图如图6所示，伪代码如下：

// Reconstruction procedure at Victim           //目标主机的路径重构方法

let S_d be empty for 0

d

maxd     //S_d是hop为d的ASN的集合

if hop =0 then

  insert R into s₀

for d:=0 to maxd

  for each y in S_d

for each x in W_d            // W_d是hop为d的ASID的集合

      x=y

ASID_y

       insert x into S_d+1

  output S_d for 0≤d≤maxd

  output INRID of S_d

以上所述的实例只是用于说明本发明，而不构成对本发明的限制。本领域的技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种修改和变更，这些修改和变更仍然在本发明的保护范围内。

Claims (5)

1.一种基于自治域***的DDoS攻击的追踪方法，包括标记方法和路径重构方法，其特征在于：

所述标记方法的标记信息（flag,ASID,INRID,hop）包含四个标记字段，其中flag字段用于表示数据包是否被标记过；ASID字段用于记录自治域***的ASN；INRID字段用于记录入口路由器的编号；hop字段用于表示该自治域***与目标主机所在自治域***的距离，所述标记方法的步骤为：

步骤1-1 入口路由器接收到数据包后，首先检查flag字段的值，若flag字段值为0，进入步骤1-2；

步骤1-2选取一随机数u，并将其与标记概率p比较，如果u<p进入步骤1-3，否则进入步骤1-4；

步骤1-3入口路由器将其所在的ASN写入ASID字段，将其路由器ID写入INRID字段，将跳数hop字段赋初始值0，并将flag字段值改为1；

步骤1-4入口路由器需检查hop字段，若hop字段等于0，则将其所在ASN与ASID字段值异或操作，重新填入ASID字段，并将hop字段值加1；若hop字段不等于0，将hop字段值加1；

所述重构方法具体的步骤为：

步骤2-1 目标主机将捕获到的攻击数据包，按照hop字段的值，加入到集合S中，并丢弃标记信息完全相同的数据包；

步骤2-2在集合S中取hop值为0的攻击数据包，标记信息中的ASID字段即为将目标主机所在自治域***的ASN；

步骤2-3在集合S中取hop值为1的攻击数据包的ASID字段进行异或操作，即得到上一跳自治域***的ASN；

步骤2-4 依据步骤2-3的方式在集合S中依次取hop值进行处理，即得到发起DDoS攻击的自治域***，检查所述自治域***标记数据包的INRID字段，获取攻击的入口路由器地址。

2.根据权利要求1所述的一种基于自治域***的DDoS攻击的追踪方法，其特征在于：所述标记信息字段在IP报文头。

3.根据权利要求1或2所述的一种基于自治域***的DDoS攻击的追踪方法，其特征在于：所述flag字段占用TOS field的第一位，所述ASID字段占用整个Identification field域；所述INRID字段占用整个Offset field域；所述hop字段占用TOS field域的第二至第五位。

4.根据权利要求1所述的一种基于自治域***的DDoS攻击的追踪方法，其特征在于：所述标记概率p=1/(d_v+1)，其中d_v是所在自治域***到目标主机之间的跳数。

5.根据权利要求4所述的一种基于自治域***的DDoS攻击的追踪方法，其特征在于：所述标记概率p=0.25。

Images