Topology-assisted deterministic packet marking for IP traceback

A novel deterministic packet marking （DPM） for IP traceback against denial of service （DOS） and distributed denial of service （DDoS） attacks is presented, which features good scalability and high accuracy. In this scheme, an ingress router pre-calculates a Hash of its IP address and splits the Hash into several fragments. When marking a packet, the router randomly selects a fragment to mark into the packet. In the traceback stage the victim identifies the marked router with the help of the map of its upstream routers. Based on the map, the victim can identify a candidate ingress router after receiving only several marked packets. The scheme overcomes defects in previous deterministic packet marking schemes, where too much packets are required to recover a router and high false positive rate occurs in case of large-scale DDoS. Theoretical analysis, the pseudo code and experimental results are provided. The scheme is proved to be accurate and efficient and can handle large-scale DDoS attacks.

融合路径追溯和标识过滤的DDoS攻击防御方案

提出了将路径追溯和路径标识有机结合的设想,即在追溯出的上游节点有效识别过滤攻击分组。具体设计了一个新的分组标记和过滤方案。以受害主机所在自治域的边界路由器为界,之前的沿路节点标记路径信息,边界节点标记入口地址信息。受害主机可从到达的攻击分组中提取并还原相关信息,然后在域边界的攻击入口实施标识过滤。给出了完整的标记、共享存储和过滤方案,基于权威因特网真实拓扑的大规模仿真实验表明,方案防御效果较好,有效减轻了受害主机和目标域内上游链路遭受的攻击影响。

基于MAC认证的新型确定性包标记

在入口路由器数目大于攻击者数目时,基于Hash摘要的DPM(HDPM)算法的假阳率远高于其分析说明,由此提出一种基于MAC认证的新型确定性包标记(NADPM)方法,利用IP地址和MAC认证消息根据不同网络协议选择不同位数灵活地进行包标记。理论分析和模拟结果表明,该NADPM方法的假阳率远低于HDPM算法,且其最大可追踪攻击者数达140 000。

基于IPv6拒绝服务攻击和改进确定包算法研究

对IPv6下拒绝服务攻击进行了研究,并根据IPv6协议的特点,提出一种基于IPv6的MAC认证改进确定包标记(ADPM-v6)算法。ADPM-v6利用IPv6新特性,即逐跳选项和改进的MAC认证方法,有效解决了受控路由器修改标记的问题,能直接快速地追踪攻击源。同时分析验证了IPv6真实攻击环境的数据包大小分布,使得算法有效且更具有较强的实用性。理论分析和仿真实验结果表明,该算法在IPv6下大大缩短了重构时间,减少了重构计算量和误报率。

一种快速的链路状态估计算法

快速准确的链路状态估计是基于网络的拥塞控制算法中一个重要的组成部分。提出了一种链路状态快速探测算法A2DPM,通过对报文头部标识字段进行多个哈希映射,加速链路状态信息的探测,只需少量的探测报文即可得到准确的链路状态信息,因此会话发起端能够迅速感知链路上的拥塞,并相应调整其发送速率,以实现网络的最优化传输。

一种针对拒绝服务攻击的IP逆向追踪方案

IP traceback technology is an important means combating Denial of Service (DoS) attacks in the Internet.Based on Deterministic Packet Marking and Probabilistic Packet Marking, this paper proposes a new IP tracebackscheme which is both efficient and robust against mark field spoofing.

防御DDoS攻击的包标记联合部署方案

提出了一种新的结合确定包标记和路径标识的方案,其在源边界路由器以概率形式选择执行确定性包标记或路径标识。该方案以下游网络拥塞程度和路径追溯结果为依据,动态调整数据包标记操作,并在受害主机处根据不同的标记策略采取不同的防御措施。基于大规模权威因特网拓扑数据集的仿真实验表明,该方案防御效果较好,能有效减轻受害主机遭受DDoS攻击的影响。

认证确定包标记算法

确定包标记算法只需要边界路由器进行标记,可以对只使用少量包的拒绝服务攻击进行追踪,能同时追踪上千个攻击者,并且易于实现.针对确定包标记算法中,被攻击者控制的路由器(边界路由器或中间路由器)修改标记或加入伪造包,进而妨碍受害者重构入口地址的问题,提出了新的基于MAC认证的确定包标记算法.研究表明,认证确定包标记算法提供了足够的安全性,能有效阻止子网内的攻击者或傀儡路由器伪造虚假的标记,从而保证了受害者端地址重构的准确性.

基于确定包标记的DDoS攻击防御

针对已有的基于包标记的分布式拒绝服务攻击防御机制在安全性、标记利用率低、可扩展性差等方面的缺陷,提出一种基于确定包标记的DDoS攻击防御方案。通过采用一种新的编码机制,在IP数据包中嵌入一个与入口点地址相关的29位标识,将这个标识完整地记录在一个包上,使该方案具有单包追踪且零误报、保护ISP内部网络拓扑信息和应对大规模DDoS攻击的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。

IPv6下基于逐跳认证的确定包标记算法

对确定包标记算法中,标记信息在网络中传输缺乏验证,容易被受控路由器篡改而产生虚假标记,导致获取错误入口地址的问题进行了研究,引入基于身份的签名方案,结合IPv6协议特点,提出了逐跳认证的概念和新的认证确定包标记算法。

基于自治系统的确定分组标记优化方案的研究

针对基本的确定分组标记算法无法实现域间追踪、误报高,且在攻击者不断对数据分组更换源地址的情况下无法还原出攻击分组入口路由器地址及未能保障ISP的隐秘性等问题,提出了一种新的基于自治系统的确定分组标记优化方案。通过仿真软件NS2搭建平台对优化方案进行了仿真,验证了优化方案的有效性。