基于TTL阈值分析的检测伪造数据包方法.pdfVIP

维普资讯 第 18卷 第 3期 计 算 机技 术 与发 展 V )【1．18 NO．3 2008年 3月 COM JTER 1下 (、I{N()I．(X；Y ANI)I)E、 1()PMFN F Mar． 2008 基于 1] 阈值分析的检测伪造数据包方法 李 呖 ，一，汪 泉 ，刘建 中 ，严小燕 ，许高建 ，汪 阳 (1．安徽农业大学 计算机系，安徽 合肥 230036； 2．安徽大学 人工智能研究所，安徽 舍肥 230039) 摘 要：在基于1vrL分析的检测技术基础上提出了一种基于异常1vrL阈值分析的源地址伪造数据包检测方法 ，综合主动 和被动两种检测技术 ，设计了一种有效的混合型源地址伪造数据包检测方法，同时用 2500个正常数据包和2500个 1vrL 值异常的伪造数据包来模拟遭受攻击，通过模拟实验结果对该方法的优缺点进行了分析 ，最后给出了该方法 的优缺点并 提出了改进策略。 关键词 ：1vrL异常；1vrL分析 ；阈值 ；伪造数据包 中图分类号：TP393．01 文献标识码 ：A 文章编号：1673—629X(2008)03—0157—04 SourceAddressSpoofedPacketsDetectingApproach BasedonTTL ThresholdValueAnalysis LIYang!，一，WANGQuan，LIU Jian．zhong，YANXiao-yan，XU Gao-jian，WANGYang (1．ComputerDepartmentofAnhuiAgriculturalUniversity，Hefei230036，China； 2．AIInstitute。AnhuiUniversity，Hefei230039，China) Abstract：Introducesasourceaddressspoofedpacketsdetectingapproachbasedon，rTLthresholdvalueisWopo~dinthispaper．Andde signsanefficientcompositesourceaddressspoofedpacketsdetectingapproach．AtthesalTletime，theadvantagesanddisadvantagesofthis approachisanalyzedbysimulatingexperimentwhichocntains2500normalpacketsna d2500，rTLanomalypackets．andthecorrespond— ingimpmvem~tschemeissuggestde ． Keywords：TTLanomaly；TTLanalysis；thresholdvalue；pa cketspoof O 引 言 后回应一个请求确认 (SYN／ACK)数据包 ，并调整 自己 进入二十一世纪以后 ，随着 “互联网冬天”的结束， 的连接处于半开状态：设定等待时间上限并在内存队 网络又进入了一个快速发展的时期，随之而来的就是 列中加入该请求；正常时，A回应一个确认 (ACK)数据 黑客的攻击和入侵。根据 US—CERT(美国国家计算 包即完成连接过程。但若攻击者始终不发 ACK数据 机网络应急响应中心)的统计，在 2006年最后的三个 包，而不停送出SYN数据包 ，最后 B因耗尽资源而中 月中，接到了近2万次的安全事故报告，这一数字已经 断一切访问请求L1j。 接近了此前 12个月报告的总和。攻击事件与 日俱增 ， (2)Smurf攻击，DDoS攻击技