基于DDoS攻击防御的二次适应包标记方法的研究

摘要

分布式拒绝服务攻击是当今网络安全领域难以防御的攻击之一，它具有实现攻击容易、追踪困难、产生后果严重等特点，已经成为影响网络安全运行的一大难题。对分布式拒绝服务攻击的研究一直倍受人们的关注。在众多解决方法地研究中，数据包标记方法地研究是进行攻击源追踪研究的一个重要方面。 本文介绍了分布式拒绝服务攻击的攻防原理，对主要的数据包标记方法进行了研究，分析了它们各自的长处和不足。其中，自适应概率包标记方法能够很好地提高路由器标记概率，减少受害端重构攻击路径的时间；而代数编码包标记方法能够很好地节省数据包头标记空间，方便的将路由地址信息进行分片标记。但是，这类数据包标记方法，较多地耗费数据包的地址空间较多，在受害端收集重组时需要数据包的数量也相对较多，检测耗费的时间和资源相对较大。 论文提出的二次适应包标记方法，是在自适应概率包标记方法和代数编码包标记方法两者中，综合各自优点的基础上提出来的。该方法是通过对路由器IPv4地址进行分块，对分块地址利用HMAC算法做加密处理，写入数据包的标识域，并打上标记。最终在受害端检验打上标记的数据包，收集路由器IP分块信息，对攻击源发出的数据包进行分析重组，从而达到重构攻击树、追踪攻击源头的目的。二次适应标记方法在很大程度上节省了标识空间，增强了传输过程中路由器标记数据包的安全性，能够在较短的时间内追踪到攻击者。 通过基于OPNET Modeler10.5软件的仿真实验证明，本文设计的二次适应包标记方法，在一定程度上减少了追溯攻击源所需要的数据包的数量，在重构攻击路径时的误报率比起自适应概率包标记方法也相对较低。