基于混合包标记法的溯源系统设计与实现赵文乔，双锴**（北京邮电大学网络与交换技术国家重点实验室,北京100876）510152025303540摘要：当前，拒绝服务攻击已经成为了互联网上最为常见，但又是极具威胁的攻击方式。一种主要的形式是单包型拒绝服务攻击。这种拒绝服务攻击形式的发起，仅需要较少数量的数据包，甚至是单个数据包就能完成拒绝服务攻击。数据包标记法和路由器日志记录法是当前两种最为主要的方法，但数据包标记法更加适用于数据包数量较大的攻击形式，而路由器日志记录法虽然能够进行单包溯源，但是但是该方法要求全部溯源路由器都对每一个转发的数据包进行摘要存储，整体存储需求还是比较大，在一定程度上限制了它的大范围部署。因此，如何在其中取得资源和效率的平衡是一个亟待解决的问题。本文以此为出发点，设计并实现了一个基于标记摘要混合溯源算法的IP溯源系统，以便于有效追溯网络上的单包拒绝服务攻击。关键词：网络安全；网络攻击；IP溯源；混合溯源中图分类号：TN915.08DesignandimplementationofIPTracebacksystembasedonhybridmarkingschememethodZHAOWenqiao,SHUANGKai(StateKeyLaboratoryofNetworkingandSwitchingTechnology,BeijingUniversityofPostsandTelecommunications,Beijing100876)Abstract:Nowadays,thedenialofserviceattackontheInternethasbecomethemostcommon,butisverythreateningattack.Amajorformissinglepacket-baseddenialofserviceattacks.Itlaunchedwithasmallnumberofdatapackets,orevenasinglepackettocompletedenialofserviceattacks.Packetmarkingandrouterloggingmethodisthemosttwomainmethods.However,themarkingmethodismoresuitableforattackwithalargenumberofpackets.Thoughtherouterloggingmethodcantracebackthesinglepacketattack,itrequireseachroutertostorethedigest,sotheoverallstoragerequirementsistoolarge.Therefore,howtogetabalancebetweenresourcesandefficiencyisaseriousproblem.Inthispaper,wedesignandimplementaIPtracebacksystembasedonhybridmethodtotracebackthesingle-packetattackeffectively.Keywords:networksecurity;networkattacks;IPtraceback;Hybridtraceback0引言自从1969年互联网脱胎于美国的阿帕网之后，就一直保持着高水平的发展速度，它已经成为了人们工作生活中不可或缺的重要部分，影响着整个社会进行商业活动、经济活动、文化活动等的方式。遗憾的是，互联网所拥有的开放性、便捷性、无界性得到长足进步的同时，其本身的固有缺陷也逐渐扩大，引致了各式各样的网络攻击。中国互联网络信息中心(CNNIC)于2013年7月17日发布的《第32次中国互联网络发展状况统计报告》显示，截至2013年6月底，我国网民规模达5.91亿，半年共计新增网民2656万人。然而网络安全环境却不尽人意：国家互联网应急中心（CNCERT）发布的《中国互联网网络安全报告（2012年）》中指出：2012年，CNCERT/CC共接收境内外的报告的网络安全事件19124起，较2011年增长了24.5%。同时，拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一，2012作者简介：赵文乔(1988-)，男，硕士研究生，主要研究方向：网络安全通信联系人：双锴（1977-），男，副教授，主要研究方向：下一代网络.shuangk@bupt.edu.cn-1-45505560年我国境内日均发生攻击流量超过1Gbit/s的较大规模拒绝服务攻击事件有1022起，约为2011年的3倍。DoS（拒绝服务攻击）一般采取对目标主机发送海量的数据包的方法，对其计算和网络资源产生了巨大消耗，DDOS（分布式拒绝服务攻击）则是在DoS的基础上产生的分布协同式攻击[1]，攻击者同时控制大量的僵尸主机对目标主机进行攻击。拒绝服务攻击分为资源消耗型以及服务漏洞型。资源消耗性就是对受害者发送大量无意义的数据包，则受害者计算资源和网络资源都被这些无意义的数据包所占用，而对正常的服务请求则无法分派出足够资源进行响应；服务漏洞型主要是对攻击目标的协议或者服务中已有的漏洞进行攻击，通常是通过少量的畸形包就能使得受害者服务停止，具有很强的隐蔽性，包括泪滴攻击，PingofDeath等，近些年...