拒绝服务攻击路由反向追踪算法综述
拒绝服务攻击路由反向追踪算法综述
拒绝服务攻击路由反向追踪算法综述
信息技术论文 更新 2006-4-8阅读
拒绝服务攻击路由反向追踪算法综述
薛东
摘要 针对拒绝服务攻击本文介绍了几种发现拒绝服务攻击路径的反向追踪算法。针对每一种算法给出了其相应的原理和优缺点。并在总体上对这些算法的实现难度、效果等进行了比较。
关键字 路由器 路由 反向追踪 ICMP IP
背景
随着互联网络的发展越来越多的服务通过网络为大众提供与此同时针对互联网服务的攻击手段也出现了拒绝服务攻击简称DOS就是黑客们最常用的手段。这种攻击行为使网络服务器充斥大量要求回复的信息消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
拒绝服务攻击使用‘虚假’数据包源地址为假来淹没主机从而导致其对正常用户的服务质量下降或服务拒绝。有时黑客们为了提高攻击效果会联合多个攻击站点一起向受害者发送攻击数据包这就是分布式拒绝服务攻击DDO S。根据CERT C omputer EmergencyResponse Team的统计拒绝服务攻击的发生率在近几年有明显的增加。 2000年2月包括yaho o在内的多家大型网站被中断服务数小时事后证明黑客采用的正是DDO S。
拒绝服务攻击反向追踪问题的难点在于攻击数据包通常都具有不正确的或“伪装”的IP源地址。这些包在网路上漫游使得我们无法找到真正的源信息。尽管IP包头中的源地址是虚假的但每个IP包都必须经过从攻击方到受害者之间的路由器转发记录下这些路由器就可以恢复出攻击所经过的路径这也是拒绝服务攻击路由反向追踪算法的基本思路。
路由反向追踪算法
1链路测试
原理链路测试的思想是从最接近受害者的路由器开始测试其上游所有链路找出是哪一个链路传输了攻击的数据流然后更上一级路由器重复该过程直到发现攻击源。它又分为以下两种测试方法
1 1输入测试
很多路由器都提供以下的特性允许操作员在路由器的某些输出端口
上禁止一些特定的数据包同时也可以检测出某一种类型的数据包到达了哪个输入端口该特性可以用于路由的反向跟踪。
首先受害者必须确定自己遭到了攻击并从攻击数据包中提取出它们共有的一些攻击特征然后以某种方式通知网络操作员网络操作员针对该特征在受害者的上一级路由器的输出端口上过滤具有该特征的数据包这里说的过滤并不是禁止的意思而是发现具有攻击特征的数据报过滤机制同时可以揭示出这些数据包的输入端口也就是揭示出转发攻击数据流的上一级路由器。上游路由器再重复该过程直到找到攻击源如果该过程进行到了ISP边界则还需要联系上一级ISP 以完成整个跟踪过程。
问题该方法要求很高的人工管理量。而且在多个ISP之间协调是件费时费力的工作 同时并不能保证所有的ISP都会愿意合作。
1 2有控制淹没
该方法通过将与受害者相连的每一条输入链路进行人为淹没并观察
攻击数据包通讯情况的变化来检测出攻击的来源。
受害者使用预先生成的网络拓扑选择最接近自己的路由器的上游链路中的主机通过与这些主机合作对路由器的每一条输入链路分别进行强行淹没。因为路由器缓冲的共享特性每一个在过载链路上通过的数据包其丢失的概率都会增加当然这其中也包括攻击数据包。通过观察到达受害者的攻击数据包速率的变化就可以确定攻击数据流的来源。通过一级级的使用该方法就可以最终恢复出攻击路由。
justhost.ru官方来消息说已经对网络进行了比较全面的优化,针对中国电信、联通、移动来说,4个机房总有一个适合中国用户,让站长进行一下测试,这不就有了这篇有关justhost的VPS的第四次测评。本帖主要关注的是网络,对于其他的参数一概不管! 官方网站:https://justhost.ru 最低配VPS:8.3元/月,KVM,512M内存,5G硬盘,200M带宽,不限流量 购买链接:...
Hostiger商家我们可能以前也是有见过的,以前他们的域名是Hostigger,后来进行微调后包装成现在的。而且推出Columbus Day哥伦布日优惠活动,提供全场的VPS主机首月7折月付2.79美元起的优惠。这里我们普及一下基础知识,Columbus Day ,即为每年10月12日,是一些美洲国家的节日,纪念克里斯托弗·哥伦布在北美登陆,为美国的联邦假日。Hostiger 商家是一个成立于2...
zji怎么样?zji最近新上韩国BGP+CN2线路服务器,国内三网访问速度优秀,适用8折优惠码zji,优惠后韩国服务器最低每月440元起。zji主机支持安装Linux或者Windows操作系统,会员中心集成电源管理功能,8折优惠码为终身折扣,续费同价,全场适用。ZJI是原Wordpress圈知名主机商:维翔主机,成立于2011年,2018年9月启用新域名ZJI,提供中国香港、台湾、日本、美国独立服...