[发明专利]一种基于路径信息弹性分片的跨域溯源方法及系统

说明书

技术领域

本发明涉及IP网络的追踪技术，尤其涉及一种针对分布式拒绝服务攻击(DDoS，Distributed Denial of Service)的跨域溯源方法。

背景技术

近几年，随着计算机设备价格的下降、网络速度的大幅改善以及Web应用的蓬勃发展，越来越多的个人电脑、智能终端、企业信息基础设施连接到互联网中，使互联网在社会经济生活中的地位日趋重要。但是，随着互联网的飞速发展，各种针对互联网的威胁技术也日益增多。虽然政府部门针对网络犯罪进行了立法，对网络入侵者予以惩处，但是网络受破坏的案例仍然呈快速增长趋势。这主要归因于IP网络的无认证和无状态特征：如果入侵者伪造IP地址，受害者或执法机关将难以找到线索定位入侵者，无法对其进行惩戒，致使入侵者继续无所顾忌地对网络进行破坏。

在当前发生的网络威胁中，DDoS是最具威胁、最常见的网络威胁之一。2007年4月底，爱沙尼亚遭受持续半个月的DDoS威胁，多个政府网站被迫停站；2009年7月初，韩国受到多次DDoS威胁，导致一些企业、政府部门网站无法正常登录。这两次事件影响范围广泛，损失也十分严重，但事后却无法找到肇事者。一方面说明了IP溯源技术在网络安全中有着重要作用，另一方面也说明了已有的IP溯源技术在实用方面仍存在着缺陷。

当前，研究人员针对DDoS的溯源问题提出了多种解决方案，主要有包标记法、路由器日志记录法、链路测试法、Internet控制报文协议(ICMP，Internet Control Message Protocol)追踪法等。其中包标记法是研究人员最为关注的一种溯源方法，也是目前DDoS的溯源中所采用的主流方法。围绕包标记法，研究人员进行了各方面的研究。根据对IP数据包标记的概率划分，包标记法可分为概率性包标记法(PPM，Probabilistic Packet Marking)和确定性包标记法(DPM，Deterministic Packet Marking)。PPM由于在重构路径时需要大量的IP数据包，因而主要适用于对拒绝服务攻击(DoS，Denial of Service)进行溯源；DDoS中每个入侵主机所发出的IP数据包数量较少，PPM无法保证受害者收到足够IP数据包以重构路径。DPM适用范围较广，但面临的问题是IP数据包包头没有足够空间供路径上所有路由器对IP数据包进行标记，并且，目前已有的DPM方法缺陷较多，比如仅能追踪到受害者所在的自治系统(AS，Autonomous System)的入口处，或标记信息占用空间过大，IP数据包包头根本不可能提供所需要的空间。

针对这些问题，研究者提出了在AS层面对IP数据包进行标记的跨域溯源方法。基于AS层面的跨域溯源方法存在以下优点：

1)超过99.5％的IP数据包到达目的地所经过的AS不超过6个，从而所需记录的路径信息较少；

2)AS管理者一般不喜欢泄露内部拓扑，基于AS层面的溯源方法会更容易被互联网服务提供商(ISP，Internet Service Provider)接受；

3)自治系统号(ASN，Autonomous System Number)只有16位，与32位IP地址相比，ASN占用IP数据包包头的空间较小，重构路径时所需的IP数据包数量也较小。

因而，目前认为跨域溯源方法具备更广阔的应用前景。目前提出了称为FAST的跨域溯源方法。FAST使用IP数据包包头的25位空间(分别为服务类型(TOS，the Type of Service)域，标识(Identification)域和保留标志(Reserved Flag)域)作为标记空间，并将这25位标记空间分为三个域，分别是：

NodeAppend域(20位)：用于存储路径上各ASN的哈希值；

Hop域(3位)：用于指示IP数据包已经经过几个AS；

H_id域(2位)：用于指示使用了哪个哈希函数对ASN进行压缩计算。

在FAST的跨域溯源方法中，边界路由器将相应的ASN用哈希函数压缩为4位，并标记到NodeAppend域。受害者收到一定数量带有标记信息的IP数据包后，依据网络拓扑找出可疑路径，并使用不同的哈希函数对这些可疑路径进行计算。如果某条路径的数个哈希值，在所收到的标记信息中均能找到相应值，则该路径是入侵路径。FAST跨域溯源方法可以较快地重构AS层次的入侵路径，但是，FAST跨域溯源方法存在以下问题：