一种新的IP追踪的分片标记方法

拒绝服务攻击（DoS）是难以解决的网络安全问题。IP追踪技术是确定DoS攻击源的有效方法。针对用于IP追踪的压缩边分片采样算法（CEFS）存在的不足,提出了新分片标记算法（NFMS）,该算法通过扩大标记空间和采用自适应概率的方法,减少了重构路径所需数据包数,并通过给分片加标注,减少了重构路径的计算量和误报率,并且将点分片（路由器分片）、边分片（该路由器分片与同偏移值的下游相邻路由器分片的异或值）分开存放,可验证重构路径时所得攻击路径中节点的正确性。分析和仿真结果表明NFMS算法的性能较优。     

一种改进的数据包标记追踪方案——CDPM

为了提高受害端重构攻击路径的效率,提出了一种周期式确定包标记的复合式方案.该方案以5个分片一组表示边信息,路由器周期式地对数据包进行标记.对于边状态的变化,方案采用路由器检测标记信息的方法进行同步,以确保标记的准确性和鲁棒性.与传统的概率包标记方案相比较,该方案只需要标记较少的数据包即可重建攻击路径,较好处理含伪造地址的数据包,有效地解决了数据包遗失的问题.理论分析与实验结果证明了该方案的有效性.     

基于AS协同的分布式拒绝服务攻击追踪机制研究

提出一种基于自治系统协同的分布式拒绝服务攻击的追踪算法.在该算法中,自治系统边界路由器把所在的AS信息以一定的概率对经过的数据包进行标记,受害者可通过数据包中所标记的路径信息重构出攻击路径,从而追踪到攻击源.带认证的标记方法有效地防止了攻击者伪造和篡改数据包中的路径信息.与其它追踪算法相比,该算法实现了快速实时追踪攻击源,有效地抑制了攻击流进入其它的网络,及时缓减了攻击带来的影响.     

大流量优先的实时IP随机包标记反向追踪

在现有IP随机包标记反向追踪算法实时性的研究基础上,分析了标记概率、推测路径需要的数据包数量和攻击路径距离的关系,提出一个大流量优先的实时IP随机包标记反向追踪方法LTFMS,利用路由器节点当前流量统计,受害者可在最短时间内推测出主要攻击路径。通过建立模拟测试环境实验分析,对于大规模DDoS攻击,该方法在相同时间内可比现有方法推测出更多的攻击路径。     

基于追踪部署的着色包标记算法的研究 *

基于追踪部署的相关理论和着色包标记算法 ,针对当前危害很大的分布式拒绝服务攻击 ,提出一种基于追踪部署的 IP回溯算法。该算法是以贪心算法为基础 ,利用 K-剪枝算法在网络拓扑图中找出一些关键的路由器 ,利用这些路由器也就是只让 tracers对过往的数据包按照着色包标记算法进行标记 ,这样不但减少了重构路径所需的数据包数 ,降低了路径误报率 ,提高了追踪到攻击者的速度 ,而且大大减轻了路由器标记的负担 ,从而能够迅速准确地找到攻击源。     

基于追踪部署的着色包标记算法的研究 *

基于追踪部署的相关理论和着色包标记算法,针对当前危害很大的分布式拒绝服务攻击,提出一种基于追踪部署的IP回溯算法。该算法是以贪心算法为基础,利用K-剪枝算法在网络拓扑图中找出一些关键的路由器,利用这些路由器也就是只让tracers对过往的数据包按照着色包标记算法进行标记,这样不但减少了重构路径所需的数据包数,降低了路径误报率,提高了追踪到攻击者的速度,而且大大减轻了路由器标记的负担,从而能够迅速准确地找到攻击源。     

可避免数据包重复标记的可变概率分片标记算法

提出了可避免数据包重复标记的可变概率分片标记算法.通过模拟试验对比该提出的算法和基本包标记算法,结果表明该方法能够消除对数据包的重复标记问题,并显著地减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的追踪的准确性和实时性.     

基于追踪部署的动态概率包标记算法的研究

基于追踪部署的相关理论和动态概率包标记算法,针对当前危害甚大的分布式拒绝服务攻击,提出一种基于追踪部署的IP回溯算法。该算法是以贪心算法为基础利用K-剪枝算法在网络拓扑图中找出一些关键的路由器,利用这些路由器也就是只让tracers对过往的数据包按照动态概率包标记算法进行标记,这样大大减少了重构路径所需的数据包数,提高了追踪到攻击者的速度,而且大大减轻了路由器标记的负担,从而能够迅速而准确的找到攻击源。     

一种新的IP溯源追踪方案

在匿名DDoS攻击源追踪算法中,Savage等人提出的压缩边分段采样算法（CEFS）以其高效性和灵活性成为业内关注的焦点,但是该算法在重构路径时所需数据包数﹑分片组合次数方面存在不足。针对这些问题提出一种基于CEFS改进的算法,只需两个有效的分片就可以进行溯源,同时利用路由器身份标识字段减少了重构路径时分段的组合数,提高了溯源的时效性,理论分析和实验结果证明了该方案的有效性。     

一种无日志的快速DDoS攻击路径追踪算法

分布式拒绝服务攻击是目前Internet面临的主要威胁之一.攻击路径追踪技术能够在源地址欺骗的情况下追踪攻击来源,在DDoS攻击的防御中起到非常关键的作用.在各种追踪技术中随机包标记法具有较明显的优势,然而由于较低的标记信息利用率,追踪速度仍然不够快.为了提高追踪速度提出一种无日志的快速攻击路径追踪算法.该算法利用少量路由器存储空间和带内信息传输方式提高标记信息利用率,不仅大大提高了追踪速度,而且避免占用额外的网络带宽.     

基于合作过滤机制的ICMP回溯DDoS攻击源方法

提出一种改进的ICMP回溯方法。此方法是基于合作过滤机制的,采用合作过滤机制能够使产生的ICMP回溯包更有效并在尽可能靠近DDoS攻击源的地方过滤攻击包和保护合法包,改进后的ICMP方法对引发ITrace包的IP包从靠近攻击源的地方同步跟踪到受害者,提高了重构攻击路径的速度和准确性。     

防御DDoS攻击的包标记联合部署方案

提出了一种新的结合确定包标记和路径标识的方案,其在源边界路由器以概率形式选择执行确定性包标记或路径标识。该方案以下游网络拥塞程度和路径追溯结果为依据,动态调整数据包标记操作,并在受害主机处根据不同的标记策略采取不同的防御措施。基于大规模权威因特网拓扑数据集的仿真实验表明,该方案防御效果较好,能有效减轻受害主机遭受DDoS攻击的影响。     

CoMM:基于协作标记与缓解的实时IP反向追踪模型

实时性对于在DoS或DDoS网络攻击中发送假源地址包的主机进行IP反向追踪非常重要．提出一个IP实时反向追踪的模型CoMM（Cooperative Marking and Mitigation），在受害者主动参与和自治网络协调员的帮助下推测攻击路径，局部推测的攻击路径可以帮助受害者推测的攻击路径进行验证，上游路由器采取限速方式减小攻击程度的同时保证合法用户流量的传输和受害者正常推测攻击路径的流量需要，并有效的降低路由器参加追踪的开销．     

一种基于源的DDoS攻击防御系统的设计

当前拒绝服务攻击工具随处可得,且易操作,使得分布式拒绝服务攻击发生的频率越来越高,此类攻击已被公认为互联网上最难解决的问题之一.本文主要基于R.Mahajan等提出的防范模型,将随机边标记和过滤机制相结合,设计了基于随机边标记的DDoS攻击防范系统.此系统可以充分利用IP回溯和过滤机制的优点,并相互弥补其不足.相对R.Mahajan等的方法来说,能更好地保护合法用户的请求及攻击源与受害者之间的网络带宽资源.     

Fast autonomous system traceback

Service-oriented computing (SOC) due to their distributed and lose coupled nature are very vulnerable to distributed denial of service (DDoS) attacks. IP spoofing makes it difficult for the victim to determine the packet's origin. There is a need for a mechanism that could enable real-time traceback of the origins of the attacks. In this paper, we propose a novel protocol, fast autonomous system traceback (FAST) to traceback to the attack originating autonomous systems (AS). The multifold advantages of FAST include reconstruction requires just around 5–10 packets and reconstruction takes just a few seconds. We validate the performance through extensive simulations over the datasets obtained from traceroute.     

On deterministic packet marking

In this article, we present a novel approach to IP Traceback – deterministic packet marking (DPM).¹ DPM is based on marking all packets at ingress interfaces. DPM is scalable, simple to implement, and introduces no bandwidth and practically no processing overhead on the network equipment. It is capable of tracing thousands of simultaneous attackers during a DDoS attack. Given sufficient deployment on the Internet, DPM is capable of tracing back to the slaves responsible for DDoS attacks that involve reflectors. In DPM, most of the processing required for traceback is done at the victim. The traceback process can be performed post-mortem allowing for tracing the attacks that may not have been noticed initially, or the attacks which would deny service to the victim so that traceback is impossible in real time. The involvement of the Internet Service Providers (ISPs) is very limited, and changes to the infrastructure and operation required to deploy DPM are minimal. DPM is capable of performing the traceback without revealing topology of the providers’ network, which is a desirable quality of a traceback method.     

一种改进的路由包标记追踪方案

提出了一种基于中国余数定理的包标记方案,对分布式拒绝服务攻击的来源进行追踪。该方案使用中国余数的唯一性来标记IP分块的特征,相对其他包标记算法运算简单,并且有效避免了Hash碰撞的发生,可以在不用假设受害者拥有网络拓扑信息的基础上,只需要较少的标记数据包在较短的时间内重构出攻击路径。该包标记方案在相对量较大的攻击中,能够有效减少重构路径的误报,且计算速度也较其他的包标记方案更快。仿真结果验证了该方案在路由追踪中的正确性和有效性。     

网络攻击追踪技术性能分析

DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包.     

分布式拒绝服务攻击研究综述

分布式拒绝服务攻击(distributed denial-of-service，DDoS)已经对Internet的稳定运行造成了很大的威胁．在典型的DDoS攻击中，攻击者利用大量的傀儡主机向被攻击主机发送大量的无用分组．造成被攻击主机CPU资源或者网络带宽的耗尽．最近两年来．DDoS的攻击方法和工具变得越来越复杂，越来越有效，追踪真正的攻击者也越来越困难．从攻击防范的角度来说，现有的技术仍然不足以抵御大规模的攻击．本文首先描述了不同的DDoS攻击方法，然后对现有的防范技术进行了讨论和评价．然后重点介绍了长期的解决方案-Internet防火墙策略，Internet防火墙策略可以在攻击分组到达被攻击主机之前在Internet核心网络中截取这些攻击分组。     

基于自适应包标记的IP回溯

防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一。在各种解决方法中,自适应概率包标记受到了广泛的重视,因为算法中路径上的每个路由器根据一定策略自适应的概率标记过往的数据包,从而受害者可以用最短的重构时间,对攻击者进行IP回溯,找出攻击路径并发现攻击源。文中提出了一种自适应的标记策略。通过实验验证相比于常用策略,该策略重构路径所需的数据包明显减少,有效地减少了重构计算量和伪证性。