一种追踪DDoS攻击源的算法

摘要：提出了一个追踪DDoS攻击源的算法，将攻击源快速锁定到规模相对较小的AS实体中，确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责处理网络中传输的报文，采集到的数据经加工处理后，识别、记录和分析攻击行为或异常情况，形成入侵攻击报警信息数据，对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图。实验表明，该算法比PPM算法在计算负载上更有效。

关键词：入侵检测；DDoS；攻击路径

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)18-4321-03

An Algorithm for Tracing DDoS Attack Sources

LI Qing-hong

(Department of Information Engineering, Zhuzhou Professional Technology College, Zhuzhou 412001, China)

Abstract: An algorithm for tracing DDoS attack sources rapidly lock attack sources to AS entities with small scales for ensuring their AS autonomy system. The gatherer of network packets in IDS sees after transmissive message of the network, the gathered data are cured to identify, record and analyze aggressive behaviors or abnormal condition for forming intrusion attack alarm information data, this retraces routes of intrusion attacks to forming the effective route figures. Experiments show that the algorithm is effective than the PPM algorithm on calculated load.

Key words: intrusion detection; DDoS; intrusion route

随着互联网络的快速发展，DDoS攻击已成为Internet中最主要的安全威胁之一，越来越多的攻击案例已跨越了多个ISP。DDoS攻击可在世界上任何一个连接Internet的角落发起攻击，随着Internet规模不断拓展，DDoS攻击所跨越的路径将变得更长。在大多数的DDoS攻击事件中，攻击者普遍采用了“源地址欺骗”技术，使得各类基于特征信息过滤的防范手段变得十分有限，因而防范DDoS攻击是非常困难的。一些追踪算法[1-7]在短距离攻击事件的追踪中有良好的表现，而针对长距离攻击事件的追踪则显得力不从心。

最初的DDoS攻击追踪采用逐跳(Hop byHop)追踪方法，例如链路测试，从最接近被攻击的路由器开始，测试其上游所有链路，找出是哪一个链路传输了攻击的数据流，然后在上一级路由器重复该过程，直到发现攻击源。由于该方法极大地依赖ISP和网络管理员的配合，人工成本很高，难以实现。

目前针对DDoS攻击源追踪主要为基于因特网层面的全局范围解决方案和基于ISP层面上的有限范围解决方案[1]。前者修改Internet中所有的路由器协议，需要路由器厂商和ISP支持，参与追踪算法的实施；后者能有效跟踪ISP内部攻击事件，但难以处理跨ISP的DDoS攻击事件。基于显式的ICMP traceback消息的追踪方案利用ICMP分组包来发送标记消息[2]，而路由器以低概率从其转发的路由分组中取一个样本，目的节点根据收到的信息来重构攻击路径，但需防止攻击者发送假的ICMP traceback报文。类似于ICMP traceback，基于概率数据包标记(PPM)方案[3]在数据包到达路由器时，以某种概率来标记数据包的部分路径信息，当被攻击主机收到的带有标记信息的数据包达到一定数量时，可通过分析来恢复和构建完整的攻击路径。该方法能实现事后追踪，降低系统负载，且不会增加所传送数据包的大小。但数据包标记很容易被攻击者利用，当对付少量攻击包且高度分散的DDoS攻击时，假阳性概率会很高。对于一个平均攻击长度为25的25个用户发动的DDoS攻击事件，如采用PPM算法，被攻击主机需要花费数天的时间才能找到大致的攻击路径，而这里面还包含了一定数量的假阳性路径。

本文提出了一个追踪DDoS攻击源的算法，将攻击源快速锁定到规模相对较小的AS实体中，确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责对网络中传输的报文进行监听、过滤、记录数据包信息，采集到的数据经加工处理后，识别并记录攻击行为或异常情况，对网络事件进行相关性分析，形成入侵攻击报警信息数据，再读取数据库的相关入侵攻击数据，对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图，从而实现入侵追踪定位的目标任务。

1 追踪处理框架

数据的采集由入侵检测系统的网络数据包采集器负责对网络中传输的报文进行监听、过滤、记录数据包信息，能够对内外网同时监控，为了更有效的采集数据，选取对主机的各种端口和网络关键节点的数据采集相结合。

入侵检测先集中采集数据，再用各种协议对数据分类，利用异常检测技术对数据源检测，如果发现有DDoS攻击行为，把结果反馈给用户，让用户决定是否进行追踪。DDoS攻击在时间上不是孤立产生的，在各个端点采集到的数据之间都有联系。新的入侵类型出现时，只要在控制中心在一定时间间隔内刷新规则库，具有很强的灵活性。

追踪攻击源对内网采用IP与MAC地址绑定的方式，对于外网采取经过路由器的数据包进行概率性的标记并记录。追踪基于Hash函数的SHTE引擎，首先扫描IDS检测到的攻击包，在查询中心查找需要的数据包头并进行综合分析，再对取得的路径信息用重构路径中心回溯攻击源路径。追踪后由用户决定是否对攻击源采取措施，警告攻击源、断开攻击源的连接或关闭对它开放的资源。

追踪定位读取入侵攻击报警数据库中的报警信息，其中包括入侵攻击源的IP地址，利用IP地址作为查询关键字，在注册设备信息数据库进行搜索查询相关入侵攻击者信息。如果入侵源IP地址存在于入侵攻击报警数据库，则输出入侵攻击报警数据库中的报警信息，否则输出警告信息。

注册设备信息数据库中入网注册主机信息包括设备主机IP地址、MAC地址、使用者相关资料等信息。网络入侵检测抓取网络业务数据后，对其进行预处理分析、决策、融合形成入侵报警信息，存放于入侵报警数据库，把入侵源信息与注册设备信息数据库中的数据进行查询比对，取得入侵攻击源更详细的信息，锁定入侵攻击源目标。

为便于对数据包的分区路由追踪，对入侵检测得到的数据和路由器中对应数据分区保存。由于ISP服务商提供服务的网络拓扑结构非常复杂，必须在网络中布置多个追踪扫描点，每个扫描点在自己的区域内，取得请求的数据包信息，追踪查询中心对这些分散的区域进行数据统计分类，查出在本区域内路由器标记过的数据包摘要信息，用于重构路径。