赵杰

摘要： 为了提高对分布式拒绝服务(DDoS)攻击源反向追踪的效率和准确度，提出了一个新算法。此算法不同于AMS(Advanced Marking Schemes)算法，是利用IP地址拼接技术，重定义IP数据包头部分字段，利用一种新的路由器地址编码格式，使得一个数据包携带更多路由地址信息，提高重构路径的效率，大幅降低误报率。相对于AMS算法,新算法明显提高了IP反向追踪的性能，降低了误报率。

关键词： DDOS攻击； 地址拼接； 追踪算法； IP数据包

中图分类号：TP393.08文献标志码：A文章编号：1006-8228(2012)05-35-02

DDOS attack source tracing algorithm based on the IP address re-stitching

Zhao Jie

（Department of Information Technology and Management , Zhejiang Police Vocational Academy, Hangzhou, Zhejiang 310018, China）

Abstract： To improve the distributed denial of service (DDoS) attack source traceback efficiency and accuracy, proposed a new algorithm that compared to AMS (Advanced Marking Schemes) algorithm, using the IP address of stitching techniques, re-define the IP data header part of the field, using a new router address coding format, making the route a packet to carry more address information to improve the efficiency of reconstruction of the path, dramatically reducing the false alarm rate. Relative to the AMS algorithm, the new algorithm significantly improves the performance of IP traceback, reduce false alarm rate.

Key words： DDOS； address stitching； tracking algorithm； IP packets

0 引言

当前各类网络安全威胁中，拒绝服务攻击（DOS）和分布式拒绝服务攻击（DDOS）因其危害大、难以彻底防范、攻击来源难确定等成为网络攻击者最常采用的方法。为了隐藏其真实来源，它们利用伪装IP地址进行攻击，这是IP反向追踪困难的主要原因。但是，尽管IP数据包头地址是伪造的，然而数据包从源头到目的地所经过的路由器等网络转发设备还是会记录下攻击路径，利用这点我们可以重构攻击路径找到攻击源[1]。

1 数据包标记追踪算法

1.1 基本数据包标记算法[2]

Burch等提出，将路由信息全部插入数据包中，当受害者收到这些数据包时，从中即可获得相关路径信息，便可重构出攻击路径。但向数据包中插入过多的路由信息，会导致数据包长度超过路径的最大传输单元，造成数据包不必要的分段。

1.2 高级数据包标记（AMS）算法

AMS的主要思想是，将IP数据包头中标记域分为：distance域、flagID域和edge域，每个路由器以固定概率p决定是否标记数据包，把两个路由器地址信息“异或”后的Hash值插入数据包头标识域来减少存储空间。在重构路径中，AMS算法利用了“异或”的数学特性即a