一种追踪DDoS攻击源的算法李庆红（株洲职业技术学院信息工程系，湖南株洲412001）摘要：提出了一个追踪DDoS攻击源的算法，将攻击源快速锁定到规模相对较小的AS实体中，确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责处理网络中传输的报文，采集到的数据经加工处理后，识别、记录和分析攻击行为或异常情况，形成入侵攻击报警信息数据，对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图。实验表明，该算法比PPM算法在计算负载上更有效。关键词：入侵检测；DDoS；攻击路径中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)18-4321-03AnAlgorithmforTracingDDoSAttackSourcesLIQing-hong(DepartmentofInformationEngineering,ZhuzhouProfessionalTechnologyCollege,Zhuzhou412001,China)Abstract:AnalgorithmfortracingDDoSattacKsourcesrapidlylocKattacKsourcestoASentitieswithsmallscalesforensuringtheirASautonomysystem.ThegathererofnetworKpacKetsinIDSseesaftertransmissivemessageofthenetworK,thegathereddataarecuredtoi-dentify,recordandanalyzeaggressivebehaviorsorabnormalconditionforformingintrusionattacKalarminformationdata,thisretracesroutesofintrusionattacKstoformingtheeffectiveroutefigures.ExperimentsshowthatthealgorithmiseffectivethanthePPMalgorithmoncalculatedload.Keywords:intrusiondetection;DDoS;intrusionroute随着互联网络的快速发展，DDoS攻击已成为Internet中最主要的安全威胁之一，越来越多的攻击案例已跨越了多个ISP。DDoS攻击可在世界上任何一个连接Internet的角落发起攻击，随着Internet规模不断拓展，DDoS攻击所跨越的路径将变得更长。在大多数的DDoS攻击事件中，攻击者普遍采用了“源地址欺骗”技术，使得各类基于特征信息过滤的防范手段变得十分有限，因而防范DDoS攻击是非常困难的。一些追踪算法[1-7]在短距离攻击事件的追踪中有良好的表现，而针对长距离攻击事件的追踪则显得力不从心。最初的DDoS攻击追踪采用逐跳(HopbyHop)追踪方法，例如链路测试，从最接近被攻击的路由器开始，测试其上游所有链路，找出是哪一个链路传输了攻击的数据流，然后在上一级路由器重复该过程，直到发现攻击源。由于该方法极大地依赖ISP和网络管理员的配合，人工成本很高，难以实现。目前针对DDoS攻击源追踪主要为基于因特网层面的全局范围解决方案和基于ISP层面上的有限范围解决方案[1]。前者修改Internet中所有的路由器协议，需要路由器厂商和ISP支持，参与追踪算法的实施；后者能有效跟踪ISP内部攻击事件，但难以处理跨ISP的DDoS攻击事件。基于显式的ICMPtraceback消息的追踪方案利用ICMP分组包来发送标记消息[2]，而路由器以低概率从其转发的路由分组中取一个样本，目的节点根据收到的信息来重构攻击路径，但需防止攻击者发送假的ICMPtraceback报文。类似于ICMPtraceback，基于概率数据包标记(PPM)方案[3]在数据包到达路由器时，以某种概率来标记数据包的部分路径信息，当被攻击主机收到的带有标记信息的数据包达到一定数量时，可通过分析来恢复和构建完整的攻击路径。该方法能实现事后追踪，降低系统负载，且不会增加所传送数据包的大小。但数据包标记很容易被攻击者利用，当对付少量攻击包且高度分散的DDoS攻击时，假阳性概率会很高。对于一个平均攻击长度为25的25个用户发动的DDoS攻击事件，如采用PPM算法，被攻击主机需要花费数天的时间才能找到大致的攻击路径，而这里面还包含了一定数量的假阳性路径。本文提出了一个追踪DDoS攻击源的算法，将攻击源快速锁定到规模相对较小的AS实体中，确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责对网络中传输的报文进行监听、过滤、记录数据包信息，采集到的数据经加工处理后，识别并记录攻击行为或异常情况，对网络事件进行相关性分析，形成入侵攻击报警信息数据，再读取数据库的相关入侵攻击数据，对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图，从而实现入侵追踪定位的目标任务。1追踪处理框架数据的采集...