一种新的 IP 追溯和跟踪方案

一种新的IP溯源方案 张敏, 赵洪杰, 熊安平 重庆邮电大学计算机学院, 重庆 400065, 重庆大学电信, 重庆400065, 中国张敏, 赵洪杰, 熊安平.NewschemeIPtraceback.ComputerEngineeringApplications, 2030, 865: 400065 ：TodefendagainstanonymousDDoSattackInternet，theCEFSalgorithmwhichfirstdevelopedSav-ageetalbeingmostconcerneditsefficiencyhasdisadvantagescom-binationsfragmentwhenconstructattackroute.Fordisadvantages，thispaperimprovesCEFSalgorithm.ItneedsonlytwoefficientsegmentsstartIPtracebackwhenreconstructsattackpath.Atsametime，byusingrouteridentifica-tionsegment，itmoreefficientexperimentsshowscheme.Keywords：DistributedDenial-of-Service（DDoS）；ProbabilisticPacketMarking（PPM）；routeridentification；IPtraceback要：在匿名DDoS攻击源Among跟踪算法，由Savage等人提出的压缩边缘分割采样算法（CEFS）。 以其高效、灵活的特点成为业界关注的焦点。 它有一个短部分。

针对这些问题，提出了一种基于CEFS的改进算法。 只需要两个有效片段就可以溯源。 同时，利用路由器标识字段减少重构路径时的分段组合数，提高了溯源的时效性。 理论分析和实验结果证明了该方案的有效性。 关键词：拒绝服务； 概率包标记； 路由器身份； IP追踪 图分类号：TP393.08 简介 由于网络路由的无状态性，随着互联网的快速发展，DoS/DDoS攻击（Denia1-of-Service, DoS/DistributedDoS, DDoS）成为最主要的一种安全威胁分析 为了实时有效地阻断或隔离攻击行为，为攻击者的法律责任提供司法依据，被攻击方必须快速、准确地查明攻击者的真实位置。 相关技术称为攻击源跟踪或定位技术（即IPTraceback）。 在保持现有互联网架构不变的情况下，它是网络防御手段的最后一道屏障，因此其研究引起了学术界和工业界的高度重视。 研究人员提出了多种跟踪方案，如日志记录、连接测试、ICMP跟踪、覆盖网络、数据包标记等，它们各有优缺点。

Probabilistic Packet Marking (PPM) 算法是目前最有效的 IP 跟踪方法。 其中，Savage等人提出的CEFS（Compressed Edge Fragment Sampling）算法，又称基本包标记算法，是最具代表性的算法。 但该算法在路径重构所需的数据包数量和分片组合数量的计算上存在不足。 本文利用IP头Identification字段相关的FlagFlagOffset字段来扩展标志空间，增加路由器标识字段。 区分不同的路由器，使得在重构路径时，只需要少量的分片组合就可以确定攻击边缘。 解决了CEFS算法需要的数据包量大、分片组合多、计算量大的缺点，可以更好的应用于DDoS攻击溯源。 基本数据包标记算法压缩边缘分段采样 (CEFS) 是概率数据包标记算法的改进。 在保证健壮性的基础上，采用三种技术来降低每个数据包的存储空间需求。 2.1 概率包标记算法概率包标记算法（PPM）的主要思想是让路由器以一定的概率在过去的数据包中填充部分路径信息。 IPV4有一个标识字段（Identification field）。 考虑将这些路径信息存储到该域中。 当受害端接收到足够多的攻击者数据包后，受害端从这些数据包中提取出相应的路径信息，进而重构出攻击数据包的完整路径。

PPM 将路径信息添加到数据包标头中的三元组（开始、结束、距离）。 当路由器以一定的概率标记数据包时，它会在起始字段中填写自己的IP地址，并且不会对该数据包进行距离检查。 标记时，检查distance的值是否标记为0，如果是，则处理，如果distance的值不是dis-tance1。 distance字段的长度不能超过30跳，所以总共需要star（t32bit）和end（32bit）。 作者简介：张敏（1972—），女，副教授，研究方向：光互联网理论与技术； 赵宏杰（1983—），男，硕士； 熊安平（1970—），女，副教授。 邮箱：hong_jie_zhao@163.com 收稿日期：2010-05-10； 修订日期：2010-08-02842011, 47 (30) Computer Engineering and Application distance (5bit) to mark information, and Identification16bit , 根本不能满足需要。 2.2 压缩边段采样算法 为了减少标记包的信息，Savage 等人提出的CEFS 算法。 使用三种方法在保证健壮性的同时减少每个数据包的存储容量。

(1)利用这个特性，只用32位来存储一个边的两个IP地址信息。 (2)将每条边的ID分成不重叠的位，记录该段在原地址的偏移量。 (3) 采用错误校验方式，每一方的ID由其地址与Hash值逐位相交形成。 该方法将一方的64位信息分为某段ID（8位）、该段在原始地址中的偏移量（3位）、该方与被害方的距离（ 5 位）。 这 16 位被重载到 IP 标头的标识字段中。 在重建路径的过程中，受害者收集所有边的ID段，并根据距离和偏移值对这些标签进行分组。 在相同距离下，根据偏移值组合所有可能的边ID，通过将边ID的数据部分与Hash部分进行匹配来决定是否接受该边ID作为攻击图的一部分。 其标记和重建过程如图所示。 这个算法最大的缺点就是会有一定距离的ID同时存在的可能性。 为了找到正确的边ID，需要进行哈希比较。 当m=10时，在CEFS算法中，当段组合达到m=20时，段组合高达256亿次，重构基本不可能。 为此，本文在CEFS算法的基础上进行了改进。 重建路径所需的数据包数量和面对DDoS攻击时分片重组的数量有了很大的改进。

用于 IP 身份验证的已知网络拓扑方法。 其中，文献[6]在原有CEFS算法的基础上提出了改进，将重建路径所需的数据包数量减少到原来的一半。 本文称其算法为E-CEFS（Enhanced-CEFS）。 本文的实验结果也将与之进行比较。 本文改进后的算法标识如下： (1) 偏移量：1位，分别用于标识IP地址的分片，分别对应IP地址id 0~15、16~31。 (2)距离：5比特，用于记录上次标记数据包的路由器到当前路由器的距离，最终值为上次标记数据包的路由器到受害者的距离。 (3) Router Identification：10bit，用于标识。 (4) 边分片：16比特，用于记录边分片信息。 具体标记见1619 31 3115改进算法中的header marking。 3.2 具体标记和重构算法 改进算法包括两部分：路由标记算法和路径重构算法： (1) 标记算法 Void marking at the router ( Packet 是每个路由器处的标记概率，本文中p=0.04 Hash (R'sIP); P.edgee; P.offsetx; P.Distance0; P.Router Identificationr;} Fragment at Else; P.Edgee XOR P .Edge; P.DistanceP.Distance+1;} (2) 受害主机的路径重构算法在路径重构时首先选择两个距离相同但Offset不同的数据包，比较它们的RouterIdentification)字段值是否正确相等（当使用路由器认证时），如果它们相等，则它们的Edge Seg-router标记的数据包基于CEFS算法的改进所占比例小于0.25%。

因此，包头中与分片相关的字段可以用来携带其他信息。 在本文的方法中，这些字段用于存储数据包所经过的节点信息，具体算法如下： 在该算法中，存储标记位置与基本数据包标记算法类似，但是因为使用了IP包头的Identification字段，所以当flag重载时，与分段相关的FlagFlagOffset字段就没有意义了，所以side information的存储空间从16位扩展到32位。 具体方法是用Identification、flag、flag offset字段分别存储Offset、5bit Distance、10bit RouterIdentification和16bit Edgefragment。 10bit Hash (IP) 来填充。 本文在路径重构中采用了文献[5]中采用的Offset Distance Router Identification Edge Fragment Ver HLen ToS ToS Total Length Identifier Flag Frag Offset TTL Protocol Checksum Source IP Address Destination IP Address IP溯源跟踪方案。 2011, 47 (30) 85 ment 0, 1依次组合成边，然后使用上游网络拓扑图验证边的IP地址，否则，组合被丢弃，下一个分片的组合为执行。

具体算法描述如下： . distance, w.router identification); maxddo的不同偏移量的数据包; 如果两个数据包的RI域值相等，则用边XORlast合并; } last的每个子节点lastu; } 删除3.3 两个对比分析3.3.1 路径重构所需数据包个数 路径重构所需数据包个数决定算法的收敛性 段合并次数及验证IP -2 段重组时，对于相同距离的分片，偏移量value分别为分片，只有RI字段的值相等才能进行验证，验证IP的个数由公式（2）表示： Times 组合中，只有0.9的组合 8 10 会继续进行IP验证，大大减少了不必要的IP验证次数。 使用网络拓扑进行IP验证是一个耗时的操作，而检测RI -3值是否相等是通过比较一个字符串完成的，计算量小，因此可以显着减少量路径重建期间的计算。

仿真实验 为了验证所提出的改进方法，利用CAI-DA（Cooperative Association Internet Data Analysis）在Internet环境下收集的traceroute数据库实验数据，进行了仿真攻击实验。 为了测试重构路径所需的数据包数量，随机选择一条攻击路径，路径长度为：1~30。 对于每个距离值，发送的数据包个数为50、100、150、……，直到受害者重构出整个攻击路径，对任意距离值重复模拟实验100次，取平均值。 实验结果如图所示。 从图中可以看出，路径重构时所需的数据包数量较CEFS算法和E-CEFS算法明显减少比特币追踪ip，因此路径重构时只需要较少的数据包来重构路径。 为了验证论文算法在面临DDoS攻击后重构路径时的优势，任意选取10条攻击路径，每条攻击路径的长度d=4，攻击时统计分片组合的个数路径逐渐增加。 统计本文算法中使用路由器身份（RI）认证和不使用路由器身份（RI）认证两种情况下的分片组合数，并与文献[6]中优化的E-CEFS算法进行比较。 但在CEFS算法中，当攻击路径m=10时，段的组合达到如图所示。

实验结果表明，在面对DDoS攻击时，带有RI验证的方法在重建路径时可以大大减少分片组合的数量。 当不使用 RI 验证时，重建所需的片段组合数量随数量呈指数增长。 同时，与优化后的E-CEFS算法相比，结果有所提升，但由于CEFS算法中E-CEFS算法中k=4，在本文的高级CEFS算法中，可以看出改进后的方法是重构相同的路径长度，所需的数据包大小小于基本数据包标记策略的四分之一。 3.3.2 路径重构所需的计算量 在路径重构中，分片重组时，使用分片数据包的RI部分比较是否相同，然后重新组装数据包进行IP验证，这减少IP验证次数，减少算法的计算量。 表示距离值为d，offset 000500 500 algorithm in the text (RI) algorithm in this paper (without RI) E-CEFS 000CEFS E-CEFS algorithm in this paper 000500 1015 路径长度 20 25 30 1012 攻击路径数 number DDoS攻击时碎片组合的研究 包荣伟，陈树新，欧阳向景，等：近空间不同仰角下静止信道的建模与仿真 2011, 47 (30) 97 10 10－1 10 －1 10 －2 10 －2 10 －3 10 －3 10 － 4 10 －4 10 －5 10 －5 10 －6 10 －6 1015（Eb/No）/dB 20 25 30 1015（Eb/No）/dB 20 25 30 系统仰角为30°且包络相位同时衰落时的性能 当仰角为40°且包络相位同时衰落时，系统性能的SNR损失降低了13 dB。 当仰角为40°时，SNR损失降低了15 dB。 与无衰落的情况相比，当仰角为20°，误码率为10-6时，分别会造成约11dB和14dB的信噪比损失，当仰角为30°时，误码率为10 -6 仰角为40°时，误码率为10 -6 时，会造成大约dB的信噪比损失； 小雨引起的衰落变化最小，误码率为10 -5 时比特币追踪ip，与仰角14.2相比，仰角40时信噪比损失dB。

总的来说，随着仰角的增大，全天候条件下的误码率较无衰落情况下明显下降。 仿真结果表明，在14.2~40°范围内，随着仰角的增大，Ka频段的临近空间静止信道质量得到明显改善。 满足应急通信中大容量点对点信息传输。 如果采用适当的信道编码技术，传输性能有望得到很大的提高。 因此，本文建立的模型的正确性和实用性，为后续的研究工作提供了较好的仿真平台。 参考文献：王爱华，罗伟雄． Ka波段卫星通信信道建模与系统性能仿真[J]． 通讯杂志, 2001, 22 (9): 61-69. LiWenzhen, Law Choi Look, Dubey K, etat. 考虑天气影响的Ka波段陆地移动卫星信道模型[J]. IEEE 通讯快报，2001，5(5)：194-195。 卢克。 静态模型陆地移动固定卫星通信 Kaband[C]//IEEE 46th Veh Technol Conf，1996：1023-1027。 P.High-altitude platforms wirelesscommunications[M].英国: John, Wiley Sons Ltd, 2008. 郑金宝. 我国Ka波段卫星通信雨衰分析与抗雨衰技术[D]. 长沙：国防科技大学，2007。李洪波，陈树新． 串行级联Turbo Ka波段静止卫星通信系统的应用与仿真研究[J]. 空间电子技术，2008（3）：91-96． 杨明川。 低仰角动态环境下高空平台通信信道衰落特性[J]． 华南理工大学学报:自然科学版, 2009, 37(1): 27-32. 总结 通过分析临近空间平台通信系统的信道特性，结合Ka段的独特特点，在分析临近空间通信平台组成、链路损耗特性和雨衰特性的基础上，研究了通信信号通过信道后信号幅度和相位的概率分布，给出了临近空间平台（飞艇）Ka波段的静态信道。 模型。

通过进一步分析模型中参​​数的物理意义并进行理论推导，估算出不同仰角下的信道模型参数。 最后通过仿真对相邻空间静止信道的不同仰角和各种天气条件进行计算机仿真，得到了仿真结果，证明了模型的可行性和参数的合理性。仿真结果还表明：临近空间的信道质量与光纤通信还有较大差距，但性能超过卫星通信，可以非常快。 ，而本文带有RI验证的算法是通过比较运算来验证的，所以同时计算量也会相对减少。 纽约：John Wiley Sons，2002.Savage S, Wetherall D, Karlin A, et al.Network support IPtraceback [J].ACM/IEEE Transactions Networking, 2001,9(3):226-237。 packetmarking IPtrace back[J]. 张丽丽, 曹天杰, 唐丽娟, 等. 一种改进的概率包标记方案[J]. 计算机工程, 2008, 34(7): 148-150. SongDawn, Perrig A.Advanced AuthenticatedMarking Schemes IPTraceback[C]//Proc IEEEINFOCOM'01.[S.1.]: IEEE Press, 2001. Yan Qiao, Xia Shutao, Wu Jianping 等。 改进的压缩边段采样算法[J]． 西安电子科技大学学报：自然科学版，2006, 33(5): 824-827. 结论 本文对CEFS算法进行了改进，理论分析和实验结果表明，改进后的算法在路径重构过程中所需的数据包数量和面对DDoS攻击时的分片组合数量都有明显的改善，减少了数量减少重构过程中的计算量，提高追溯的时效性。 受害主机可以快速响应。参考文献：SchneierB.Secrets lies:digitalsecurity networkedword[M]。