基于TTL阈值分析的检测伪造数据包方法

在基于TTL分析的检测技术基础上提出了一种基于异常TTL 阈值分析的源地址伪造数据包检测方法,综合主动和被动两种检测技术,设计了一种有效的混合型源地址伪造数据包检测方法,同时用2500个正常数据包和2500个TTL值异常的伪造数据包来模拟遭受攻击,通过模拟实验结果对该方法的优缺点进行了分析,最后给出了该方法的优缺点并提出了改进策略.     

基于TTL值异常的源地址伪造报文检测方法*

提出了一种基于TTL值异常的源地址伪造报文检测方法,并实现了一个检测工具AntiSpoof,可以高效、高精度地检测源地址伪造报文。同时通过模拟实验对该方法的优缺点进行了分析。     

随机伪造源地址分布式拒绝服务攻击过滤

由于能够有效隐藏攻击者,随机伪造源地址分布式拒绝服务攻击被广泛采用.抵御这种攻击的难点在于无法有效区分合法流量和攻击流量.基于此类攻击发生时攻击包源地址的统计特征,提出了能够有效区分合法流量和攻击流量,并保护合法流量的方法.首先设计了一种用于统计源地址数据包数的高效数据结构Extended Counting Bloom Filter(ECBF),基于此,提出了随机伪造源地址分布式拒绝服务攻击发生时合法地址识别算法.通过优先转发来自合法地址的数据包,实现对合法流量的有效保护.采用真实互联网流量进行模拟,实验结果表明,所提方法能精确识别合法地址,有效地保护合法流量,尤其能够较好地保护有价值的交易会话.所提方法的时间复杂性为O(1),并且只需数兆字节的内存开销,可嵌入边界路由器或网络安全设备,如防火墙中,实现随机伪造源地址分布式拒绝服务攻击的在线过滤.     

IPv6源地址和网络业务验证体系结构

针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。     

一种基于TTL的主动队列管理算法

文章提出了一种新颖的主动队列管理算法TRED——基于TTL(TimetoLive)的ECN及BECN的综合。ECN和BECN在指示拥塞的过程中各有优缺点,二者的综合可望提高拥塞指示的效率。TTL是在网络上传输的分组必需的属性,且每一次转发都要经过检测,以决定该分组的处理方式——转发或丢弃。通过对TTL的判断来决定网络拥塞指示的方式——ECN或BECN。该机制可利用ECN及BECN的优势,同时不会对反向链路造成很大的压力。仿真结果显示算法在队列长度以及吞吐量方面都取得了不错的效果。     

基于历史信任数据的DDoS防御模型

文中概述了DDoS攻击方法,分析了传统的DDoS攻击的防御技术。提出了一种基于历史信任数据的DDoS防御模型,并对模型的异常数据检测方法,信任数据库建立机理及源地址检测算法进行了说明。     

IP追踪中PPM算法的改进研究

概率包标记(PPM)是对拒绝服务(DoS)攻击进行IP追踪的一种实用而有效的方法。文章提出通过利用TTL域对原有PPM方案进行改进，减少了路径重构所需的数据包数量，提高了路径重构的效率。     

基于源地址伪造的Web服务DoS攻击防御方法

为缓解Web服务面临的DoS攻击,对Web服务安全标准(WSS)的核心内容进行研究,基于WSS中的安全令牌,设计并提出一种防范基于源地址伪造DoS攻击的安全令牌,并采用RSA算法对该令牌进行加密.实验结果表明,该安全令牌能够有效缓解基于源地址伪造的Web服务DoS攻击,提高Web服务的安全性.     

采用源地址验证选项的IPv6源地址验证研究

针对加密认证的源地址验证方法只能在目的主机或者目的自治系统之间进行的问题,提出一种IPv6源地址验证方案.设计逐跳选项扩展首部的新选项,用以存储源地址验证信息.利用Hash运算,将源IP地址生成验证信息,并添加到所设计的源地址验证选项中,从而使得数据包传输途径的每一跳路由器都可以对源地址进行检验.该方案将基于加密认证的源地址验证方法扩展到数据传输的全过程,并针对网络层次性结构,提出进一步的改进考虑.     

对一种DoS攻击的分析及防范策略研究

Web服务器常常遭到来自外部网络主机的拒绝服务攻击,其中,SYN flood攻击是最常见的一种。攻击者使用伪造的源地址向服务器发送大量的TCP连接请求,致使服务器为每一个连接请求分配资源直至资源耗尽,因此,合法用户的正常访问也因为无法建立TCP连接而被拒绝。分析了SYN flood攻击的基本原理,对现有的几种处理资源耗尽及伪造源地址的方法进行了分析,指出了它们的优缺点。     

Building an Identity Management Infrastructure for Today…and Tomorrow

ABSTRACT

The basis of denial of service (DoS)/distributed DoS (DDoS) attacks lies in overwhelming a victim's computer resources by flooding them with enormous traffic. This is done by compromising multiple systems that send a high volume of traffic. The traffic is often formulated in such a way that it consumes finite resources at abnormal rates either at victim or network level. In addition, spoofing of source addresses makes it difficult to combat such attacks. This paper adopts a twofold collaborative mechanism, wherein the intermediate routers are engaged in markings and the victim uses these markings for detecting and filtering the flooding attacks. The markings are used to distinguish the legitimate network traffic from the attack so as to enable the routers near the victim to filter the attack packets. The marked packets are also helpful to backtrack the true origin of the spoofed traffic, thus dropping them at the source rather than allowing them to traverse the network. To further aid in the detection of spoofed traffic, Time to Live (TTL) in the IP header is used. The mappings between the IP addresses and the markings along with the TTLs are used to find the spurious traffic. We provide numerical and simulated experimental results to show the effectiveness of the proposed system in distinguishing the legitimate traffic from the spoofed. We also give a statistical report showing the performance of our system.     

支持域间分布式分组过滤的BGP扩展

可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.     

Packet forwarding with source verification

Routers in the Internet do not perform any verification of the source IP address contained in the packets, leading to the possibility of IP spoofing. The lack of such verification opens the door for a variety of vulnerabilities, including denial-of-service (DoS) and man-in-the-middle attacks. Currently proposed spoofing prevention approaches either focus on protecting only the target of such attacks and not the routing fabric used to forward spoofed packets, or fail under commonly occurring situations like path asymmetry. With incremental deployability in mind, this paper presents two complementary hop-wise packet tagging approaches that equip the routers to drop spoofed packets close to their point of origin. Our simulations show that these approaches dramatically reduce the amount of spoofing possible even under partial deployment.     

基于双重地址跳变的移动目标防御方法

网络系统的确定性和静态性使得防御处在被动之中,移动目标防御作为一种改变攻守态势的防御理念被提出。针对嗅探和扫描攻击,文章提出一种基于双重地址跳变的移动目标防御方法——DAH。通过双重虚拟地址跳变频率分级,有效解决通信服务质量和跳变频率之间的矛盾,利用低频虚拟地址跳变保证网络可用性,利用高频虚拟地址跳变抵御嗅探攻击。通过检测主机异常通信行为构造欺骗数据包,以实现迷惑并阻断扫描攻击的效果。测试实验表明,DAH既可以保证网络的正常通信时延和CPU负载,又可以有效抵御嗅探和扫描攻击。     

网络攻击追踪技术性能分析

DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包.     

CoMM:基于协作标记与缓解的实时IP反向追踪模型

实时性对于在DoS或DDoS网络攻击中发送假源地址包的主机进行IP反向追踪非常重要．提出一个IP实时反向追踪的模型CoMM（Cooperative Marking and Mitigation），在受害者主动参与和自治网络协调员的帮助下推测攻击路径，局部推测的攻击路径可以帮助受害者推测的攻击路径进行验证，上游路由器采取限速方式减小攻击程度的同时保证合法用户流量的传输和受害者正常推测攻击路径的流量需要，并有效的降低路由器参加追踪的开销．     

基于哈希和流量分析的IP回溯

由于IP数据包的源地址可以任意伪造,因此在回溯DoS攻击数据包走过的真实路径时是很困难的。基于哈希和流量分析的方法(HashandTrafficAnalysisbasedScheme,简记为HTAS)使得路由器不需太多的存储空间便能长时间地记录下经过它的可疑数据流,受害者据此可以在遭到DoS攻击时或以后进行回溯。该文详细阐述了该方法的工作模型,并对其性能进行了分析。     

TTL电路中一种新型的抗饱和结构的设计与分析

本文提出了一种新型的抗饱和结构的设计，它能以最小的代价来改善TTL门电路的性能。附加的反馈晶体管有效的控制了输出晶体管进入深饱和状态，因此在提高关断速度方面的成就与采用肖特基势垒二极管的成就相似，而且这种结构有更好的抑制噪声能力，同时能和任何双极型工艺兼容。     

Novel hybrid schemes employing packet marking and logging for IP traceback

Tracing DoS attacks that employ source address spoofing is an important and challenging problem. Traditional traceback schemes provide spoofed packets traceback capability either by augmenting the packets with partial path information (i.e., packet marking) or by storing packet digests or signatures at intermediate routers (i.e., packet logging). Such approaches require either a large number of attack packets to be collected by the victim to infer the paths (packet marking) or a significant amount of resources to be reserved at intermediate routers (packet logging). We adopt a hybrid traceback approach in which packet marking and packet logging are integrated in a novel manner, so as to achieve the best of both worlds, that is, to achieve a small number of attack packets to conduct the traceback process and a small amount of resources to be allocated at intermediate routers for packet logging purposes. Based on this notion, two novel traceback schemes are presented. The first scheme, called distributed link-list traceback (DLLT), is based on the idea of preserving the marking information at intermediate routers in such a way that it can be collected using a link list-based approach. The second scheme, called probabilistic pipelined packet marking (PPPM), employs the concept of a "pipeline" for propagating marking information from one marking router to another so that it eventually reaches the destination. We evaluate the effectiveness of the proposed schemes against various performance metrics through a combination of analytical and simulation studies. Our studies show that the proposed schemes offer a drastic reduction in the number of packets required to conduct the traceback process and a reasonable saving in the storage requirement.