一种网络攻击路径重构方案

  • 格式:pdf
  • 大小:184.14 KB
  • 文档页数:4

log 2 28 + log 2 16 +1 = 13 位和4d个报文。
以下讨论如何将一个路由器j的IP地址Aj分到4个信息块中,步骤如下:(1) 取小于28的最大的4个素数
m1=233,m2=239,m3=241和m4=251;(2) 计算Aj,1=Aj mod m1,Aj,2=Aj mod m2,Aj,3=Aj mod m3和Aj,4=Aj mod m4;
2.3 地址分片
假设在每个报文中设定唯一的xj,仅用d个报文便可重构一条长为d的路径。但是,这种重构路径方案要 求在每个报文中设置 log 2 p + log 2 d +1 个标注位,其中第一项是FullPath的编码,第二项是xj的编码,第三项
是“标注状态”位。例如对于长度为16的路径,每个报文需 log 2 (232 ) + log 2 16 +1 = 37 位标注位。
还原出边上的两个路由器的IP地址Z,Y。为了便于边的重构,将“标注状态”标记位修改为记录边样本距
受攻击机的距离。
3 IP报文的标注
3.1 选用IP选项字段
IP 选 项 字 段 最 适 合 添 加 信 息 [7] , 本 文 用 此 字 段 来 存 放 路 径 上 各 边 的 代 数 编 码 。 记 录 域 设 置 累 加 器
=
m1 m 2
i =1
mk , M
j
=
M
/mj
=
k
∏ mi
, y j 满足 M j y j
≡ 1(mod mj ) ,其中
j
= 1,2,
,k。由于
i =1
i≠ j
(M j , m j ) = 1,故 y j 存在,则 A j ≡ A j,1M 1 y1 + A j,2 M 2 y2 + + A j,k M k yk (mod M ) 就是问题唯一的解。
小的最大素数。可以利用代数方法编码一条完整的路径,在路径开始端设FullPath0,j=0。此后,每个路由器 计算为:
FullPathi,j=(FullPathi−1,j*xj+Aj) mod p
(1)
要使FullPath0,j=0,就意味着一个路由器需要知道它自己是第一个参与的路由器。但在目前的Internet结 构中,路由器无法拥有这一信息,因此本文采用随机标注的方法。一个路由器首先产生一个[0..1]之间的随
第 35 卷 第 3 期 2006 年 6 月
电子科技大学学报 Journal of University of Electronic Science and Technology of China
Vol.35 No.3 Jun. 2006
一种网络攻击路径重构方案
于 泠1 ,陈 波2,肖军模1
(1. 解放军理工大学通信工程学院 南京 210007; 2. 南京师范大学计算机系 南京 210097)
文献[3-5]提出通过标记报文来追踪泛洪攻击,这种办法具有很多优点。首先,该方法不需要同因特网 服务提供商(Internet Service Provider,ISP)进行合作,可以减少输入检测(Input Debugging,ID)的代价;其次, 该方法也不像受控泛洪(Controlled Flooding,CF)那样需要额外的大网络流量,可以用来追踪多攻击源;此 外,该方法与日志记载(Logging)一样,可以在攻击结束后进行追踪。实验发现标记机制不需要网络路由器 大的消耗。本文在文献[3-5]的基础上,采用代数方法,利用IP报文中的选项字段,以概率将流经路由器的地 址标注报文,使得受攻击主机端能够利用被标注报文内的地址信息重构攻击路径,从而追踪到攻击源点。 如何运用代数方法记录报文流经路由器的地址,以及如何利用报文中记录的信息重构路径是本文讨论的重 点。
为了减少标注位,可考虑将一个路由器IP地址分到k个信息块中,并附加⎡log2k⎤个bit位来表明在一个给 定 的 报 文 中 记 录 哪 个 信 息 块 。 例 如 , 将 32 位 IP 地 址 分 到 4 个 信 息 块 中 , 需 要 4d 个 报 文 , 且 每 个 报 文 需
log 2 28 + log 2 16 + log 2 4 +1 = 15 位。为作进一步改进,可使每个路由器将其所有的信息块加到同一个报文中。 方法是,每个路由器可为每个报文中的多项式添加k个系数,而不是通过给多项式增加一个系数来展开位于
2 路径编码
2.1 基本假设 因为真正的攻击源点可能被伪装,并且狡猾的攻击者可以发送错误信号以“虚构”路由器,所以本文
收稿日期:2003 − 08 − 27 基金项目:江苏省政府资助项目(BR2003015);江苏省高校自然科学重点资助项目(03KJA52066) 作者简介:于 泠(1971 − ),女,博士生,讲师,主要从事网络信息安全、人工智能等方面的研究.
时,FullPath= ( An x n−1 + An−1x n−2 + + A1 ) mod p ,只要有足够数目的报文从相同的路径到达受攻击主机端, 就可以通过解GF(Path)域上的线性方程组:
⎡1 ⎢⎢1
x1 x2


⎢⎣1 xn
x12 x22
xn2
… …

x n−1 1
x n−1 2
⎤ ⎥ ⎥
Key words traceback attack source; reconstruct path; router; network security
1 研究基础
网络攻击追踪是对网络攻击作出正确响应的重要前提。然而由于攻击者会使用地址欺骗等技术来隐藏 自己的真地址而忽略其源地址,因而隐 藏了攻击源的攻击者很难被发现。作为当前具有研究意义的挑战性课题,网络攻击追踪技术的研究重点已 逐渐转为如何重构攻击路径,以及对攻击源地址和攻击路径作出尽可能真实的定位。但目前已有的一些黑 客攻击源点追踪和路径发现技术都不同程度地存在一些问题[1-2]。
第3期
于 泠 等: 一种网络攻击路径重构方案
393
研究方案依据的重要假设是:(1) 在攻击者和受害者之间的路由器是稳定的;(2) 路由器没有被入侵;(3) 从 攻击者发出的报文必须经过攻击者与被攻击者之间所有的路由器;(4) 大多数拒绝服务攻击都包含大量的报 文。依赖这样的假设,本文的研究是切实可行的,将路由器地址的分片值以概率形式来标注报文,受攻击
关 键 词 攻击源追踪; 路径重构; 路由; 网络安全
中图分类号 TP393.08
文献标识码 A
A Scheme of Reconstructing Network Attack Path
YU Ling1,CHEN Bo2,XIAO Jun-mo1
(1. Institute of Communication Engineering, PLA University of Science and Technology Nanjing 210007; 2. Dept. of Computer Science, Nanjing Normal University Nanjing 210097)
机数r,若r小于某个预定的概率值p时,则认为该路由器有权标注报文。若一个有权标注报文的路由器收到
一个还未处于“标注状态”的报文时,就认为该路由器是第一个路由器,并为该路径随机选取一个xj,计算 式(1),并将报文标记为“标注状态”,并将FullPathi,j值和xj一起记录在报文中传送到路径上的下一个路由器。 若一个有权标注报文的路由器收到处于“标注状态”的报文时,计算式(1),将自己的IP地址加入FullPathi,j 中。可以看出,路由器不必知道路径的总长和在路径上的位置,便可计算路径编码。当报文到达受攻击机
k个报文中的k个信息块,也就是每个路由器更新FullPath共k次,依次替换它们IP地址的每个信息块。
重构路径时,对于
~ fp
(x)
=
A1,1
+
A1,2 x
+
+ A1,k x k −1 + A2,1 x k +
+ An,k x nk −1
(2)
可以通过解相应的线性方程组来重构IP地址。其中的Aj,1,Aj,2,…,Aj,k是Aj的连续块。当k=4时,此方法只需
机通过大量被标注报文内的信息可重构攻击路径。整个方案中,路由都显得非常重要。虽然路由器的实现
技术已发生很大的进步,连接速度骤增,但任何有效的实现必须确保对报文处理的低开销。
2.2 基本思想 假设A1,A2, ,An为路径Path上各路由器的32位IP地址;xj为对应于第j个报文的一个随机数,p是比232
Edge(x) = (z1 + z2 x + z3x2 + z4 x3 + y1x4 + y2 x5 + y3 x6 + y4 x7 ) mod 251 。要求该边两端的路由器地址,只需恢复
多项式
~ f p (x)
=
z1
+
z2 x
+
z3 x 2
+
z4 x3
+
y1 x 4
+
y2 x5
+
y3 x 6
+
y4 x 7 中的各项系数,再利用中国剩余定理就可以
394
电子科技大学学报
第 35 卷
2.4 边的代数编码
地址分片后,对于长度为d的路径,最后所要恢复的多项式(2)中含有4d个未知量,这将增加重构的复杂
性,因此本文把对全路径的编码简化为对相邻两个路由器形成的边的编码。例如相邻两个路由器的IP地址分
别 是 Z 和 Y , 各 分 成 4 片 , 即 z1 , z2 , z3 , z4 和 y1 , y2 , y3 , y4 , 边 的 代 数 编 码 则 为