关键字 |
| IP回溯、包记录数据包标记 |
介绍 |
| 在过去的十年中,大量的注意力一直集中在互联网基础设施的安全是传播的一部分,接收和存储在日益增长的电子商务应用程序中非常重要的。然而,加以分布式拒绝服务(DDOS)攻击,已阐述了无数的方法来识别这些攻击的来源和方法论的方法之一是使用IP回溯。IP回溯跟踪路径的目标IP数据包的来源。最重要的使用IP回溯处理特定的拒绝服务(DoS)攻击,在源IP地址欺骗攻击者。确定攻击数据包的来源是一个重要的步骤在攻击者负责。此外,找出攻击流量的网络路径遵循可以提高防御措施的有效性等信息包过滤从受害者和他们可以应用进一步接近源。提出了两种主要的IP回溯技术在两个正交的维度:数据包标记[1][2]和包日志记录。在数据包标记,路由器是IP数据包转发的识别信息。由于有限的空间在包的头,路由器的概率决定马克数据包,这样每只包携带部分路径信息。可以重建相结合的网络路径包含标记的数据包数量。 This approach is known as probabilistic packet marking (PPM) [3]. The PPM approach incurs little overhead at routers. But it can only trace the traffic composed of a number of packets because of its probabilistic nature. |
| 在包记录,记录IP包在它流过每个路由器。从历史上看,包记录被认为是不切实际的,因为巨大的存储空间来存储包日志。基于散列的IP回溯方法[4]记录数据包消化的空间数据结构,布隆过滤器[5],大幅降低存储开销。路由器arequeried为了重建的网络路径。实现回溯所需的信息是储存在不同的点(主要是在路由器)数据包遍历的路径或路径,通常其他的路径分析获得的信息将用于回溯。这种区别,我们采用进一步将基于网络计划分为包记录方案和网络分析方案。 |
包记录方案: |
| 在包记录计划,回溯是通过要求一个数据包的节点遍历日志信息数据包的格式稍后可以查询发现,如果包出现在那个节点。大的缺点是可能需要大量的存储空间,在每个节点特别是在节点连接到高速链接,见证很多流量。最权威的作品之一IP回溯Hashbased IP回溯计划[3]计算和存储在每个节点的每个包布隆过滤器消化。方案包含一个源路径隔离发动机(学报),而不是存储整个数据包,节省了存储空间只对每个包的基础上计算散列的不变部分IP报头连同第一个有效负载的8个字节。布隆过滤器的使用是创新在解决包记录方案的存储空间问题,但尽管如此,需求计算和空间而言仍然是强大的。[4]中提到“假设数据包大小为1000位,双OC - 192链接需要6000万每秒执行散列操作,导致使用SRAM (50 ns DRAM太慢的)和44每小时gb的存储空间,与参数建议”[3]。[4]来解决这个问题时,提出一个基于包记录回溯计划可伸缩的如此高的链接速度的采样和记录只有一小部分数据包,然后使用更复杂的技术来实现回溯。然而,我们指出,采取的方法[4]失去了单包回溯最初由[3]拥有的能力。 |
包标记方案 |
| 有别于ICMP消息传递方案,包标记方案编码数据包遍历的路径信息的数据包,通常在IP报头中很少使用的字段。除了众所周知的问题找到足够的空间在当前IP报头将回溯信息,另一个常见的问题,包标记方案来自额外的计算任务放在路由器在标记过程。通常有两种方法来实现这一目标 |
确定包标记方案 |
| 确定包标记包括每个数据包的标记与节点的标识信息数据包在传输过程中达成的一个或多个节点回溯的方式可以实现通过考虑每个包的标志。这些标记通常放置在预留空间的IP报头(大多数提议解决方案使用标识字段)。 |
| 这种方法的开销主要是包的空间和IP报头中需要修改,以及路由器处理所需的时间。不同的项目不同的标记他们使用的类型,以及一个节点需要标记的地方。在[10]例如,八位字节标记代码是一半的IP地址(例如16位)+一个额外的位表示一半和17位存储数据包,由16位ID字段和1位保留标记位是用来保存这些信息,而在[21]提出一种基于路由层拓扑的编码方案是存储在一个未来IPv6数据包报头,规定为52字节回溯的目的。 |
概率包标记 |
| 概率计划计数器确定包标记的空间约束要求包只有一个部分而不是整个路径的遍历。这种方案使合理的但不是简单假设攻击通常是由大量的数据包,因此通过聚合这些部分路径信息的数据包数量,可以实现回溯路径重建。 |
| 这两种类型都有自己的特点:概率包标记开销小,当路由器马克数据包标记率低,但受害者需要大量的数据包重建源的路径。它更适合洪水DoS回溯,没有跟踪单个包的能力。虽然有提取摘要数据包并将它们存储在一个空间数据结构称为布隆过滤器[15],这降低了存储开销,使包记录方案实用。它甚至可以跟踪小数据包流,一个包。然而,这仍然是一个挑战性的任务的实用性特点由于其剩余高存储开销,提出一个有效的IP回溯机制是有吸引力的组合两个回溯技术,叫做混合IP回溯计划。目前,打击(混合网络回溯)提出的锣曹国伟是最具代表性的。借用了包记录的主要思想,并记录数据包消化其他路由器。路由器不标记记录摘要,但他们的ID信息写入一些特定领域的IP报头。它是有效减少巨大的存储开销相比。然而,有一些缺点。 Firstly, it may return incorrect path even the false source; then it still has a great demand for storage, which would limits its practicality. |
| 在本文中,我们提出了一种独特的方法基于packect标记和包的攻击路径重构日志记录。的贡献我们的方法是(1)减少路由器的存储开销大约一半,和(2)减少访问时间要求记录数据包倍邻居路由器的数量。对于每个到达的数据包,路由器总是提交标记操作,但在需要时提交日志操作交替(一般)。包消化存储在相同的方式作为基于散列的方法。但马克是存储空间的方式,以便存储要求是可以忽略不计。因此,存储开销路由器减少到一半。每个路由器维护表为每个不同的消化它的邻居路由器。数据包来自不同邻居路由器(与不同的商标)可以同时被记录在相应的摘要表。减少访问时间需求因素的邻居路由器的数量。 |
| 本文的其余部分组织如下。第二部分将我们的方法的上下文相关的工作。第三部分将详细描述我们的IP回溯的方法。第四部分分析了资源需求和性能的方法。 |
背景和相关工作 |
| 背景:拒绝服务(DoS)现在是互联网的威胁入侵。根据攻击数据包流的大小,它可分为两组。一种类型是消耗资源的受害者大量无意义的包,可命名为资源消耗DoS。的主要类型,可以让受害者资源详尽的在很短的时间。另一种类型是使被害人不能提供服务与软件的漏洞或服务运行在受害者,名叫软件利用DoS。它的关键特性是较小的数据包流,甚至一个单一的包。它已经成为近年来DoS的一个重要组成部分。我们应该做的是尽力保护严重的网络攻击。不幸的是,IP网络设计为自由和资源分享没有考虑安全问题,和匿名访问和非国有是两个关键特征。这意味着对源地址的真实性无法保证,也没有记录数据包的传输路径。 In addition, attacker may insert an arbitrary address into the source address field of a packet, which is known as IP spoof, and IP spoof makes it more difficult to defend DoS intrusion. Therefore, it is an extraordinary challenge for us to trace back to the source of DoS. IP Traceback technique is studied to resolve the problem, and it can be defined that equipments in IP network record packets state information in the network with a certain mechanism, reconstruct the complete path and find the source reliably in the end. |
| 相关工作:包记录方案使路由器记录数据包的状态信息,它有能力跟踪一个包。因此它可以为回溯提供直接的证据。它时SPIEappeared成了现实,但它仍然需要很大的存储空间。包标记方法使得路由器ID信息写入包IP报头,和重建受害者节点的完整路径。它不会增加存储路由器的负担。一些研究人员结合这两种方法的特点,提出混合IP回溯方法[16]。方法是优秀的存储开销低,和单包回溯功能。在混合IP回溯,每个traceback-enabled路由器将进行日志记录或标记。然而,混合IP回溯方法不应该这两种方法的简单组合,我们必须多注意一些关键问题。首先,在正常条件下,一个标记路由器不超过一个邻近的路由器日志,记录攻击数据包。 However, in some certain situations, packets will follow some special routes, and a marking router may have more neighboring logging routers. Hybrid IP traceback may return false paths, which could lead to the failure of traceback. Secondly, in themarking process, marking routers insert ID into IP header without logging, which can reduce storage overhead. The marking space in IP header is limited, and full utilization of the space can hold more ID information, which can reduce the percentage of logging routers in all traceback routers. In this way, the IP traceback approach is more practical. |
| 回溯的IPv6实现计划需要更多的研究,因为IPv6内置的安全机制,如认证头提供原产地认证。因此,我们把它作为我们的未来的工作。这个信息可以显示状态信息,而不是登录路由器,可以降低存储开销。像包标记方法,利用IP报头中的一些字段进行标记。利用标记的IP报头。IP报头的三个字段用于标识:标识,保留国旗和分段偏移。类似于其他PPM,这回溯重用识别领域,IP碎片。测量研究表明,只有不到0.25%的数据包是分散在互联网[19]。野蛮et al。[8]有一些讨论利用这个领域的向后兼容性问题和确认其利用率。这种方法重用保留国旗(RF)字段标记为建议[20]。 The fragment offset field will become meaningless if the IP Identification filed is reused for other purposes. Therefore, some traceback approaches utilize this field [21, 22], PPIT follows this way.Someone may argue that the value in the fragment offset field could cause some compatible problems. In order to avoid such issues in PPIT, the marking information will be removed before the packet arrives at the destination. In a certain area, IP address is too long to be taken in the IP header marking space and is unnecessary. In PPIT, each marking router is assigned a 14-bit ID number, which is to differentiate it to other neighboring routers. Muthuprasanna et al. [23] studied the unique ID number assignment problem for Internet routers and proposed an approach for internet coloring. They report that 14 bits are enough for a unique ID number assignment within a three-hop neighborhood and 12 bits for two-hop neighborhood, based on theanalysis of several Internet topology data sets. Furthermore, the same ID number can be assigned to routers more than one in different three-hop neighborhood, if these neighborhoods do not have a common router. Therefore, we can use such short ID information to replace IP address. PPIT makes use of the Identification field to store routers ID in 14 bits, which is called router ID field. The ID is generated for each traceback-enabled router, which is set by the network administrators. For each arriving packet, the current router first examines the router ID number marked in the packet header to check whether it is valid. The router ID number carried by a packet p is valid at a router r if it equals to the ID number of some neighbor router of router r. That is, the packet p was forwarded from some neighbor router to router r. If the router ID number is valid, based on the logging flag bit in the packet, the router may choose to commit (1) only marking operation, or (2) both marking and logging operations. If the upstream router logged the packet (logging flag is 1), the current router chooses to only mark the packet; if the upstream router didn’t log the packet (logging flag is 0), the current router chooses to both mark and log the packet. If the router ID number is not valid, that means the arriving packet came directly from the sender host or an attacker which sends packets with forged mark. In this case, the router chooses to commit only marking operation. |
| IP回溯的有效性大大增强traceback-enabled路由器在网络的广泛部署。然而,很可能混合IP回溯traceback-enabled方法不需要所有的路由器。所有traceback-enabled路由器形成一个覆盖网络。如果回溯服务器拓扑的知识,覆盖网络,每个traceback-enabled路由器知道周边traceback-enabled路由器,这uniquepath重建方法仍然有效。 |
攻击路径重构 |
| 重建包的路径,确定攻击的来源,受害者需要路由器的地图。受害者匹配数据包标记和地图上的路由器可以重构攻击路径。获取或构建地图并不困难。很多工具,可以用来获取地图的路由器和互联网。如果路由器提交日志操作攻击数据包,检查摘要表路由器不仅确认路由器是在攻击路径,但也发现其上游路由器在攻击路径由于每个消化表注释上游路由器的ID号。鉴于攻击数据包和受害者,回溯服务器可以推断出最后一跳路由器和最后一跳路由器是否提交日志操作基于日志标记位的攻击数据包。 |
| •如果回溯服务器推断路由器登录攻击数据包,检查摘要表,路由器将确定其上游路由器的攻击路径。 |
| •如果回溯服务器推断路由器没有日志但标志着攻击数据包,查询你的邻居路由器,路由器在卢旺达爱国阵线的方式和检查摘要表这些邻居路由器识别上游路由器。攻击图可以交替使用这两个方法构造。图显示了如何构造攻击图。 |
| •如果当前路由器的数据包进行转换,在包提交标记和记录操作,并记录转换变换查找表中的信息。给定一个数据包,咨询转换查找表可以知道数据包转换,可以重建原始数据包。查找表的实现变换是在[4]中描述。 |
| •如果包是一个支离破碎的数据包,计算和存储包在一个特定的消化消化表只有支离破碎的数据包,以同样的方式管理基于散列的方法。 |
| •否则,按照算法包的操作程序。攻击图建设也相应提高。当回溯服务器检查摘要表在一个路由器,也咨询了变换查找表,路由器和重构攻击包原来的形式,如果可能的话。 |
| 1)如果受害者提供的攻击数据包notby受害者不是支离破碎的数据包,回溯服务器采用构造攻击图的过程类似于III-B中给出的一个部分。唯一的区别是它不是任何时间真正的攻击路径,路由器日志交替攻击数据包。可能是两个相邻路由器、m和n说,这两种日志相同包p因为上游路由器m提交日志操作包p, p经历转换在下游路由器n。回溯过程,当从路由器向上游移动路由器m n记录和转换包p,回溯服务器不能假设路由器m没有日志包p。回溯服务器需要检查消化表m找出是否m p标记或标记和记录p,然后相应地采取适当的措施。 |
| 2)如果攻击数据包是一个分散的包,从最后一跳路由器,路由器在卢旺达爱国阵线回溯服务器查询方式和检查表记录消化消化分散包构造攻击路径。 |
管理费用在路由器 |
| 混合方法,当遍历网络数据包,每个路由器路由数据包提交标记操作,所有其他路由器提交日志记录操作。保持不同的消化表为每个邻居路由器使路由器ID数字存储开销可以忽略不计。所以路由器的整体存储开销减少了大约一半。此外,由于每个邻居路由器保持单独的表,数据包来自不同邻居路由器可以同时记录在相应的消化表只要每个消化表都有它自己的读/写硬件支持。从而减少访问时间要求记录数据包消化邻居路由器的数量的一个因素。当考虑包转换和向后兼容性,混合方法可以处理这两个问题,以换取少量增加存储和访问时间的要求。但IP流量的比例进行转换和IP支离破碎的流量很小的百分比(3%[10]和[11]0.25%),因此存储和访问时间需求的增加应该是微不足道的。 |
回溯过程: |
| 在回溯过程中,消化表检查的总数是一个指数反映了回溯服务器上的开销和回溯过程的速度。假设相邻路由器之间保持时间同步,平均每个路由器有n个邻居。回溯过程中,消化表检查的数量的比例混合的方法,在基于散列方法之间的n / 2和1 / 2,根据平均链接路由器之间的延迟。下面的数学推导是基于平均参数和省略了小值常量的值。假设每个路由器有n (n > = 2)平均邻居路由器,路由器和交通负荷是每个邻居一样。让的平均时间间隔由一个消化表hash-base方法是th,和平均时间间隔由一个消化表在tc混合方法。然后 |
 (1) |
| 假设攻击者的攻击路径长m啤酒花的受害者。让路由器之间的平均链路延迟l。如果路由器之间的平均链路延迟大于平均时间间隔由一个消化表,多个消化表覆盖连续时间周期在一个路由器或一个接口将检查在回溯过程。假设平均时间间隔由一个消化表t,然后d l t e表需要检查以确定攻击数据包的消化。基于散列的方法,为了搬一跳上游沿着从当前路由器的攻击路径回溯过程中,消化表n邻居路由器需要检查(n 1,我们忽略这个常数为简单起见)。消化的数量表检查 |
 (2) |
| 混合方法,为了从当前路由器的标记攻击数据包的上游路由器的标记2跳,n的消化表界面的邻居路由器需要检查,完全有n2接口(实际上(n - 1)。消化的数量表检查 |
 (3) |
| 为了简单起见,我们省略的情况。)因此消化表检查的数量的比例混合的方法,在基于散列方法回溯过程 |
 |
| 根据上述推论,当l _ tc, r < 1。链接时,路由器之间的延迟是足够大,那么在混合消化表检查IP回溯的方法比基于散列的IP回溯回溯过程。如果不保持时间同步相邻路由器之间,更多的消化表需要检查在每个路由器。这相当于之前的情况增加链接路由器之间的延迟。我们可以得到相似的结论。 |
结论 |
| 在本文中,我们提出了一种新的攻击路径重构方法基于数据包标记和包记录。我们的方法有能力跟踪包回它的起源。基于散列的IP回溯方法相比,它降低了大约一半的存储开销和提高精度的访问时间倍数量的邻居路由器。 |
承认 |
| 我感谢夫人号Sruthi, S。安佳妮普拉萨德的意见和有价值的建议在这个手稿。 |
数据乍一看 |
|
|
引用 |
- B.Al-DuwariandM。Govindarasu”,采用新颖的混合方案包标记和记录IP回溯,”IEEE反式。并行分布式系统。,17卷,不。5、2006年5月,页403 - 418。
- h·伯奇和b . Cheswick跟踪匿名近似源数据包,”Proc.第14届USENIX系统政府授予,2000年12月。
- a . Belenky n·安萨里,“与确定性包标记IP回溯,”IEEE Commun。列托人。,7卷,不。4,第164 - 162页,2003年4月。
- a . Belenky n·安萨里,“跟踪多个攻击者与确定性packetmarking (DPM)”Proc。IEEE PACRIM 03加拿大维多利亚,公元前2003年8月,49-52页。
- s . m . Bellovin m . d .水蛭,t·泰勒“ICMP回溯信息,”互联网草案:- ietf草案itrace - 04. - txt,2003年2月
- &安萨里还会,n (2003)。在IP回溯。检索2007年9月7日,来自http://ieeexplore.ieee.org/iel5/35/27341/01215651.pdf
- s . Yu w . l .周和w·j·贾“回溯的DDoS攻击使用熵变化,”IEEE并行和分布式系统22卷,2011年,页412 - 425。
- 野蛮人,d . Wetherall a卡琳,t·安德森,“网络支持IP回溯,”IEEE / ACM交易网络9卷,2001年,页226 - 237。
- d . x的歌声,a . Perrig”先进和IP回溯,身份验证标记方案”IEEE INFOCOM学报》上,2001年,页878 - 886。
- 江h . c .田j . Bi x,和w·张,“快回溯的概率评分方案,”第二届国际会议上不断发展的互联网,2010年,页137 - 141。
- p . Sattari m . Gjoka,答:我知道,“网络编码的IP回溯方法,”学报IEEE国际研讨会上网络编码,2010年,页1 - 6
|
菜单
(1)
(2)
(3)
