分布式氣絕服務攻擊中IP滋陰源技術研究.pdf

1、DoS/DDoS(DoS：Dinal-of-Service，DDoS：Distributed DoS)攻擊是目前Internet面臨的最具有威脅性和破壞性的攻擊方式之一。另外，在大多數的DDOS攻擊事件中，攻擊者普遍采用了“源地址欺騙”技術，使得防范DDoS攻擊更加困難。近年，一項針對DoS攻擊的防御技術-IP溯源技術，它能夠通過重構攻擊路徑，進而快速準確地溯源到DoS攻擊來源，因而吸引了眾多學者的關注。
　　 IP溯源技術主要

2、分為分組標記技術和分組日志技術兩類。分組標記技術雖然給路由器帶來了較小的存儲開銷，但是溯源需要較多的數據包。分組日志技術雖然成功地實現(xiàn)了單包溯源，卻給路由器帶來了較大的存儲開銷。那么能否有一種技術其既能夠實現(xiàn)單包溯源又不會給路由器帶來較大的存儲開銷呢?
　　 為此，本文圍繞上述問題，提出了一種分層次的無狀態(tài)單包IP溯源(AHierarchical Stateless Single-Packet IP Traceback Tech

3、nique，HSSIT)技術，實現(xiàn)在域間和域內兩級粒度上攻擊路徑重構，且網絡核心不存儲分組的任何數據。HSSIT主要思路在于：對分組頭空閑字段重定義，以Generalized Bloom Filter(GBF)[32]數據結構記錄各分組所經歷的路徑摘要信息(主要包括路由器AS號和IP地址信息)。當需重構路徑時，首先利用GBFAS確定攻擊源AS；然后該AS內的邊界路由器利用GBFIP確定距離攻擊源最近的路由器。然而，HSSIT技術域間路徑

4、重構時因GBFAS攜帶信息量不夠及后來的AS位標記有可能倒轉以前的AS位標記而存在二義性及漏報，進而直接影響到攻擊溯源準確性。
　　 針對上述問題，本文提出了一種域間路徑重構無二義性的增強型IP溯源(AnEnhanced IP Traceback Scheme for Ambiguity-free Inter-domain Path Reconstruction，HSSIT+)技術。其主要思路在于：增加GBFAS攜帶的信息量，并