拒绝服务攻击路由反向追踪算法综述_信息技术论文
薛东
摘要 针对拒绝服务攻击本文介绍了几种发现拒绝服务攻击
路径的反向追踪算法。针对每一种算法给出了其相应的
原理和优缺点。并在总体上对这些算法的实现难度、
效果等进行了比较。
关键字 路由器路由反向追踪ICMP IP
背景
随着互联网络的发展越来越多的服务通过网络为大众提供与此同时针对互联网服务的攻击手段也出现了拒绝服务攻击简称DOS就是黑客们最常用的手段。这种攻击行为使网络服务器充斥大量要求回复的信息消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
拒绝服务攻击使用‘虚假’数据包源地址为假来淹没主机从而导致其对正常用户的服务质量下降或服务拒绝。有时黑客们为了提高攻击效果会联合多个攻击站点一起向受害者发送攻击数据包这就是分布式拒绝服务攻击DDOS 。根据CERT Computer Emergency Response Team的统计拒绝服务攻击的发生率在近几年有明显的增加。 2000年2月包括yahoo在内的多家大型网站被中断服务数小时事后证明黑客采用的正是DDOS。
拒绝服务攻击反向追踪问题的难点在于攻击数据包通常都具有不正确的或“伪装”的IP源地址。这些包在网路上漫游使得我们无法找到真正的源信息。尽管IP包头中的源地址是虚假的但每个IP包都必须经过从攻击方到受害者之间的路由器转发记录下这些路由器就可以恢复出攻击所经过的路径这也是拒绝服务攻击路由反向追踪算法的基本思路。
路由反向追踪算法
1链路测试
原理链路测试的思想是从最接近受害者的路由器开始测试其上游所有链路找出是哪一个链路传输了攻击的数据流然后更上一级路由器重复该过程直到发现攻击源。它又分为以下两种测试方法
1 1输入测试
很多路由器都提供以下的特性允许操作员在路由器的某些输出端口上禁止一些特定的数据包 同时也可以检测出某一种类型的数据包到达了哪个输入端口该特性可以用于路由的反向跟踪。
首先受害者必须确定自己遭到了攻击并从攻击数据包中提取出它们共有的一些攻击特征然后以某种方式通知网络操作员 网络操作员针对该特征在受害者的上一级路由器的输出端口上过滤具有该特征的数据包这里说的过滤并不是禁止的意思而是发现具有攻击特征的数据报 过滤机制同时可以揭示出这些数据包的输入端口也就是揭示出转发攻击数据流的上一级路由器。
上游路由器再重复该过程直到找到攻击源如果该过程进行到了ISP边界则还需要联系上一级ISP 以完成整个跟踪过程。
问题该方法要求很高的人工管理量。而且在多个ISP之间协调是件费时费力的工作 同时并不能保证所有的ISP都会愿意合作。
1 2有控制淹没
该方法通过将与受害者相连的每一条输入链路进行人为淹没并观察攻击数据包通讯情况的变化来检测出攻击的来源。
受害者使用预先生成的网络拓扑选择最接近自己的路由器的上游链路中的主机通过与这些主机合作对路由器的每一条输入链路分别进行强行淹没。因为路由器缓冲的共享特性每一个在过载链路上通过的数据包其丢失的概率都会增加 当然这其中也包括攻击数据包。通过观察到达受害者的攻击数据包速率的变化就可以确定攻击数据流的来源。通过一级级的使用该方法就可以最终恢复出攻击路由。
WHloud Official Notice(鲸云官方通知)(鲸落 梦之终章)]WHloud RouMu Cloud Hosting若木产品线云主机-香港节点上新预售本次线路均为电信CN2 GIA+移动联通BGP,此机型为正常常规机,建站推荐。本次预售定为国庆后开通,据销售状况决定,照以往经验或有咕咕的可能性,但是大多等待时间不长。均赠送2个快照 2个备份,1个默认ipv4官方网站:https:/...
DMIT怎么样?DMIT是一家美国主机商,主要提供KVM VPS、独立服务器等,主要提供香港CN2、洛杉矶CN2 GIA等KVM VPS,稳定性、网络都很不错。支持中文客服,可Paypal、支付宝付款。2020年推出的香港国际线路的KVM VPS,大带宽,适合中转落地使用。现在有永久9折优惠码:July-4-Lite-10OFF,季付及以上还有折扣,非 中国路由优化;AS4134,AS4837 均...
数脉科技六月优惠促销发布了!数脉科技对香港自营机房的香港服务器进行超低价促销,可选择30M、50M、100Mbps的优质bgp网络。更大带宽可在选购时选择同样享受优惠,目前仅提供HKBGP、阿里云产品,香港CN2、产品优惠码续费有效,仅限新购,每个客户可使用于一个订单。新客户可以立减400元,或者选择对应的机器用相应的优惠码,有需要的朋友可以尝试一下。点击进入:数脉科技官方网站地址数脉科技是一家成...