云攻击和防御论文解析.docVIP

云计算基础课程论文封面 教师填写： 得分 任课教师签名 年 月 日 学生填写： 姓名 学号 所在学院 专业 信息工程 课程名称 云计算基础? 任课教师 课程学分 4 上课时间 20 14 至20 15 学年 第 二 学期 星期 一、四 递交时间 2015 年 7 月 日 论文作者签名： 图2 DDoS攻击源追踪的分类 a) 按数据包标记的算法有IP 分组路径记录法、概率标记法、确定包标记法、入口包标记法、流水线标记法以及基于代数 包标记算法等。 b) 按日志记录的算法有路由器日志算法、基于 hash 追踪。 c) 基于标记的追踪包括随机包标记( PPM) 、固定包标记( DPM) 、ICMP 追踪技术。 d) 分组标记算法也有很多种分类，按照是否给每个分组 都标记可以分为确定分组标记 ( DPM ) 和概率分组标记 ( PPM) ; 按照分组标记中携带的地址信息可以分为节点标记、边标记和多边标记等。 e) 按链路测试的追踪算法包括输入测试法、可控泛洪法等。 3.2 DDoS攻击追踪算法 3.2.1在攻击完成后追踪及攻击源定位 1) 随机数据包标记算法[4] 提出了采用基于概率数据包标记方案。该算法的核心思想是: 数据包到达路由器时，路由器以某种概率来 标记数据包的部分路径信息，当被攻击主机收到一定数量的带有标记信息的数据包时，可通过分析得到足够信息来恢复与构建完整的攻击路径。算法优点是实现事后追踪、无须耗用额外的网络带宽、无须占用路由器的存储空间，且不会增加所传送数据包的大小; 缺点是标记效率有待提高、重复标记的问题、数据包标记容易被攻击者利用、PPM 算法追踪到的仅是边缘路 由器或者攻击者侵入并控制的机器。 2) 可变概率包标记算法[4] 提出的概率包标记方案就是为了追踪攻击者，改变路由器的标记概率，使用可变的概率来进行标记，可以减少重构攻击路径所需的数据包数。可变概率包标记算法思想是: 离攻击者越近，标记概率应越大。当取这样的变概率时，受害端重构攻击路径所需的包的数目最少，这样可以更好地追踪到攻击者。可变概率包标记算法优点很多，但是也有不足之处，三大关键问题总结如下: a) 在实现过程中，关键的问题是 i 值的确定，如何确定才能够提高算法的准确度。 b) 路由器越靠近攻击者，其标记数据包的概率越大，边界路由器要对所有转发的数据包进行标记，产生的关键问题是将导致路由器的负担过重。 c) 当 i 较大时，Pi 会很小，结果产生受害者需要得到更多来自于攻击者的数据包才能重构出攻击路径，耗时过长，易被攻击者利用。 ICMP追踪算法 ICMP追踪算法的思想是: 当一个数据包通过一个路由器时，该路由器可以一定的概率同时向数据包的发送方和接收方发送带认证的 ICMP 追踪信息[5]。受害者可以挑出与那些攻击性数据包对应的追踪消息，根据其中的相关信息重组一个以受害者自己为目的地的攻击路径，攻击路径的另一端或攻击图的零入度节点处即为离攻击发出端最近的路由器。该算法的缺点有两点: a) 被追踪的数据包与追踪包是分开的，它们可能因为路由策略或防火墙策略而使其中一个被丢弃，另一个被传输到受害者，从而使得追踪出现误差; b) 在受害者获得攻击路径中所有路由器的追踪信息之前，其需要从攻击者处接收大量的包。 4) 数据包日志记录法 数据包日志记录的基本思想是: 在数据包的传输路途中，路由器将数据包的信息记录下来。这种方法最大的问题是要求很大的存储空间。Snoren 等人[6]提出了一种基于摘要( hash) 的 IP 追踪方法。其优点在于检测到攻击后可以根据攻击数据分组在相关的 hash 值域内查询路由器，构造出给定数据包的路径; 缺点在于要求所有的路由器都保存其转发过的数据包的部分信息的摘要。 5) 基于代数编码的包标记算法 与基本包标记不同的是，基于代数编码的包标记不是直接将 IP 地址的分块标记到数据包中，而是在数据包中以代数编码的方式标记路由器的地址。[7]提出将路径上每个路由器地址对若干特定素数求余，结果分别作为多项式系数，多项式值再对一特定素数求余，依次累加，将结果写入 IP 首部的ID 域后传送至下一站。这样，攻击数据包将含有路径上所有路由器地址的浓缩信息，受害主机收到大量数据包后，可通过解多项式和中国余数定理求出路径上的路由器。该算法有两个缺点: a) 由于没有距离标志，在路径重构的第 9 期 黄忠厚，等: DDoS 攻击源追踪算法综述·3235·过程中需要进行复杂的函数运算，其路径重构的结果不是很可靠; b) 重构攻击路径所需的数据包的数量较大，这