包标记技术浅述.docVIP

包标记技术浅述 　　[摘要]系统介绍了IP追踪中的包标记技术的研究成果，并对该技术的发展趋势做了简单的分析。 　　[关键词]IP追踪 包标记 拒绝服务攻击 分布式拒绝服务攻击 网络安全 　　中图分类号：TP3 文献标识码：B 文章编号：1002－6908（2007）1020079－01 　　 　　一、引言 　　 　　拒绝服务攻击(DOS)和分布式拒绝服务攻击(DDoS)一直是网络上使用频率最高的攻击方式。为了能够找到网络攻击的发起源以便对攻击发起人提出法律和经济上的惩罚，也为了威慑那些试图进行网络攻击的人，人们开始研究IP追踪技术。IP追踪技术的设计目标是：定位特定流的转发路径；在此基础上尽量减少路由器的工作量；能向受害者提供有用的信息。 　　IP追踪技术最常见的分类方法是将其分为五类：链路测试(Link testing)，日志记录(1ogging)，覆盖网追踪(overlay networks)，基于ICMP追踪，和包标记(IP packet marking)。 　　 　　二、包标记技术 　　 　　（一）包标记技术的提出 　　在各种IP追踪技术中，链路测试等需要人工参与的追踪方式显然不适应DDoS攻击日益增加的网络形式。而日志技术需要给路由器再增加附属存贮设备，也许还要增加数据库甚至数据仓库，把路由器功能复杂化了。ICMP消息技术会增加网络负担。如果使用1／20000的概率发送ICMP消息包的话，对于一个DoS攻击来说，也许能完成追踪到攻击源的任务。但对于攻击源分散的DDoS攻击来说，根本就追踪不了多远。那有没有一种追踪技术，既不过分增加路由器负担，无需给路由器增添存贮设备和数据库，又不会放大攻击流量增加网络负担呢?包标记技术就是这样的追踪技术。 　　包标记技术是前摄追踪技术。攻击路径信息记录在IP包自身，从而不增加网络流量负担，属于带内(inband)技术。该技术的最本质的思想是在包中找出一些未被使用的空间记录路由器的身份信息，当受害者收集到一定数量的数据包后就可以籍此重构攻击路径。其优点是网络负担不大，允许事后分析，无需在各ISP间协调，大部分这类技术能有效应对DDoS攻击。缺点是部分技术需要修改协议，不能直接应用于IPv6，与IPsec不兼容，对接收的攻击包有数量要求，存在攻击路径计算错误问题。 　　（二）包标记技术的分类 　　包标记技术有多种分类，以路由器为视角可分为： 　　确定性包标记(DPM，Deterministic PacketMarking)：路由器给每个转发的IP数据包都进行标记； 　　概率性包标记(PPM，Probabilistic PacketMarking)：路由器以一定的概率给转发的IP包进行标记。以标记包为视角可分为： 　　节点标记(Node Marking)：包中只携带一个路由器的地址信息； 　　边标记(Edge Marking)：包中携带的是相邻的两个路由器的地址信息； 　　多边标记(MultiEdges Marking)：包中携带的是包转发路径上多个路由器的地址信息。 　　（三）包标记技术的综述 　　最简单的包标记技术是节点附加技术(NodeAppend)，其次是节点采样技术(Node Sampling)，边采样技术(edge sampling)和压缩边分段采样技术(Compressed edge fragment sampling) 。对压缩边的进一步改进称为增强的标记方案(AMSI和AMSII)。 　　最原始的标记技术是节点附加技术(Node Append)。路由器在包末尾简单的添加自身的IP。其优点是实现简单，缺点是过长的包会导致不必要的分片和MTU发现。 　　节点取样技术(Node Sampling)以固定概率往包中填入自己的IP地址。优点是克服了包分片和MTU发现，缺点是重建路径需要很大数量的标记包，且不能应对DDoS攻击。 　　边取样技术(edge sampling)。包中标记相邻两个路由器的地址，其问的链路就被看作边。用距离字段来标示该边从被取样后转发的跳数。其优点是可以使用任意的标记概率，收敛时间等于从最远路由器收到一个样本的时间。缺点是需要72位标记空间。 　　压缩边分段取样技术(Compressededge fragment sampling)。压缩边使用相邻路由器地址的异或值表示，并把这个值分成小片随机的写进包里。优点是节省了标记空间，缺点是分片会造成重建路径时间指数级增长。 　　增强的标记方案(AdvancedMarking Scheme)，采用hash函数来减少标记空间，其优点是极大的减少了路径重建时间，从而能应对DDoS攻击。 　　单纯的将路径信息标记进包中，可能需要很多包重构路径；单纯的将路径信息保存