趙杰

摘要： 為了提高對分布式拒絕服務(DDoS)攻擊源反向追蹤的效率和準確度，提出了一個新算法。此算法不同于AMS(Advanced Marking Schemes)算法，是利用IP地址拼接技術，重定義IP數據包頭部分字段，利用一種新的路由器地址編碼格式，使得一個數據包攜帶更多路由地址信息，提高重構路徑的效率，大幅降低誤報率。相對于AMS算法,新算法明顯提高了IP反向追蹤的性能，降低了誤報率。

關鍵詞： DDOS攻擊； 地址拼接； 追蹤算法； IP數據包

中圖分類號：TP393.08文獻標志碼：A文章編號：1006-8228(2012)05-35-02

DDOS attack source tracing algorithm based on the IP address re-stitching

Zhao Jie

（Department of Information Technology and Management , Zhejiang Police Vocational Academy, Hangzhou, Zhejiang 310018, China）

Abstract： To improve the distributed denial of service (DDoS) attack source traceback efficiency and accuracy, proposed a new algorithm that compared to AMS (Advanced Marking Schemes) algorithm, using the IP address of stitching techniques, re-define the IP data header part of the field, using a new router address coding format, making the route a packet to carry more address information to improve the efficiency of reconstruction of the path, dramatically reducing the false alarm rate. Relative to the AMS algorithm, the new algorithm significantly improves the performance of IP traceback, reduce false alarm rate.

Key words： DDOS； address stitching； tracking algorithm； IP packets

0 引言

當前各類網絡安全威脅中，拒絕服務攻擊（DOS）和分布式拒絕服務攻擊（DDOS）因其危害大、難以徹底防范、攻擊來源難確定等成為網絡攻擊者最常采用的方法。為了隱藏其真實來源，它們利用偽裝IP地址進行攻擊，這是IP反向追蹤困難的主要原因。但是，盡管IP數據包頭地址是偽造的，然而數據包從源頭到目的地所經過的路由器等網絡轉發(fā)設備還是會記錄下攻擊路徑，利用這點我們可以重構攻擊路徑找到攻擊源[1]。

1 數據包標記追蹤算法

1.1 基本數據包標記算法[2]

Burch等提出，將路由信息全部插入數據包中，當受害者收到這些數據包時，從中即可獲得相關路徑信息，便可重構出攻擊路徑。但向數據包中插入過多的路由信息，會導致數據包長度超過路徑的最大傳輸單元，造成數據包不必要的分段。

1.2 高級數據包標記（AMS）算法

AMS的主要思想是，將IP數據包頭中標記域分為：distance域、flagID域和edge域，每個路由器以固定概率p決定是否標記數據包，把兩個路由器地址信息“異或”后的Hash值插入數據包頭標識域來減少存儲空間。在重構路徑中，AMS算法利用了“異或”的數學特性即a