随机伪造源地址DDoS攻击下合法地址识别方法.pdfVIP

高技术通讯2011年第2l卷第4期：356—362 凼i：lO．377刎．issn．1002枷．2011．04．005 随机伪造源地址DDoS攻击下的合法地址识别方法① 肖 军②一’ 云晓春③。 张永铮’ 戴磊一。 (。中国科学院计算技术研究所信息安全研究中心 北京100190) (”中国科学院研究生院北京100049) 摘要设计了一种用于统计源地址包数的高效数据结构E．CBF，基于此，提出了随机伪 造源地址DDoS攻击发生时合法地址识别算法，其时间复杂性为0(1)，同时仅需lMB的 内存开销。然后在对识别误差分析的基础上，提出了识别参数调整算法，用以根据当前攻 击规模，自动调整检测参数来满足检测精度需求。模拟实验和真实网络数据实验结果均 表明，该方法在不同规模的攻击下能自动调整检测参数，快速准确地发现合法源地址。 关键词 网络安全，分布式拒绝服务(DD0s)，随机伪造源地址，过滤，Bl嗍Filter 中有些研究具有代表性，例如，waIlg等人【7J基于数 O 引言 据包在传递过程中网络跳数不易被伪造这一原理， de耐al0f 分布式拒绝服务(distributedservice，提出了一种基于跳数过滤(hop-咖ntfiltering，HCF) DD0s)攻击是最具负面影响的网络安全事件之一，的伪造数据包DD0s攻击过滤方法，通过判断数据 近几年来，DDos攻击事件屡屡发生【”J，比较典型的 是2009年5月19日发生的经济损失超亿元的“暴 性，从而过滤DD0s攻击；Peng等人…基于以往出现 风影音”事件HJ，损失是由于服务于暴风影音软件的 的用户还会再次访问这一特点，提出了一种基于历 域名服务器DNS pod遭到黑客的DDoS攻击而无法 提供正常域名请求所造成。可见，进行防御DD0s在历史Ⅲ表中的源地址进行过滤，以实现对DDoS 攻击的研究具有重要实际意义。从攻击源地址的真 攻击的防御；B酬er-B孵等人恻基于攻击者无法知 实性角度，可将DDoS攻击分为真实源地址攻击和道每个子网的序列号这个假设，提出了一种给数据 伪造源地址攻击两类。本文研究了伪造源地址 包打标记的新颖方法来防御随机伪造源地址DD0s DDos攻击，并提出了有效的过滤和防御方法。 攻击。在数据包发送时，边界路由器打上由源端子 网编号和目的子网编号共同加密的标签，目的子网 1 相关研究 的边界路由器对数据包进行解密，通过判断源地址 子网与源地址子网编号是否符合，能够判断出数据 真实源地址攻击多为面向连接的应用层攻击， 包是否伪造。In孕e鸥砌叫m．1lJ是一类通过过滤 如H11Pn00d攻击等；而伪造源地址攻击多为面向可疑数据包或者非法数据包来抵御DDos攻击的常 非连接的攻击，如rI℃P鲥N‰d攻击、uDP兀00d攻 用方法。这类方法的局限性在于攻击者能利用的网 击等，很多流行的DD0s攻击工具【5，6J也支持伪造源 络资源或者计算资源远大于防御设备拥有的资源， 地址的攻击方式。伪造源地址攻击隐藏了真实的攻 常常超过防御或者过滤设备处理能力。啪Fil． 击源，使得人们无法通过基于攻击源这一最传统和 t甜耐1213』是另一种常用的过滤手段，不同点在于过 有效的过滤方法来防御DD0s攻击，因此，伪造源地滤设备部署在源端，如果数据包的源地址属于本地 址攻击的过滤和防御问题是该研究领域所面临的一 子网，数据包将被允许通过。这种过滤方法需要路 个难点问题和重点问题。针对这一问题，人们已展 由器开