可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.

一种基于源的DDoS攻击防御系统的设计

当前拒绝服务攻击工具随处可得,且易操作,使得分布式拒绝服务攻击发生的频率越来越高,此类攻击已被公认为互联网上最难解决的问题之一。本文主要基于R.Mahajan等提出的防范模型,将随机边标记和过滤机制相结合,设计了基于随机边标记的DDoS攻击防范系统。此系统可以充分利用IP回溯和过滤机制的优点,并相互弥补其不足。相对R.Mahajan等的方法来说,能更好地保护合法用户的请求及攻击源与受害者之间的网络带宽资源。