ddos攻防与追踪

ddos攻防与追踪内容摘要：

FREE IS ALL ! 24 四、源追踪 Traceback • Traceback简介 • Link Tesing • Controlled Flooding • ICMP Message • Marking Packet Traceback FREE IS ALL ! 25 Traceback简介 • 目的 – 杜绝攻击数据包的源头 – 攻击取证与诱捕 • 难度 – 随机伪造 IP地址 – 源头只是傀儡 – 目前协议和硬件的局限 – 路径重构的花销 FREE IS ALL ! 26 Link Testing • HopByHop • 利用 Cisco路由器 – 实例介绍 • Cisco的 IP Source Tracker FREE IS ALL ! 27 Controlled Flooding • 实际上就是制造 flood攻击，通过观察路由器的状态来判断攻击路径。 首先应该有一张上游的路径图，当受到攻击的时候，可以从 victim的上级路由器开始依照路径图对上游的路由器进行控制的 flood，因为这些数据包同攻击者发起的数据包同时共享了路由器，因此增加了路由器丢包的可能性。 通过这种沿路径图不断向上进行，就能够接近攻击发起的源头。 FREE IS ALL ! 28 Itrace Working Group(IETF) • 目前进度为： draftietfitrace02ICMP Traceback • 路由器以一定概率发送 ICMP Traceback消息。 • ICMP Traceback Messages重构攻击路径 FREE IS ALL ! 29 ICMP Traceback的缺陷 • 在 1/20200概率下增加 %的包 • ICMP包很可能被过滤掉 • 一些路由器没有 input debugging功能 • 伪造 ICMP Traceback问题 • 路由器的贫穷与富裕问题 FREE IS ALL ! 30 Packet Marking Traceback • Node Append • Node Sampling • Edge Sampling • Compressed edge fragment sampling FREE IS ALL ! 31 附加节点算法 (Node Append) • 把每一个节点地址附加在数据包的末尾，表明这是从哪里传入的。 • 缺点： – 对于高速路由器来说将增加负担 – 可能导致不必要的分片，或者因为 MTU而破坏 – 协议中保留空间可能导致攻击者伪造内容 FREE IS ALL ! 32 节点取样算法 (Node Sampling) • 在路径中的一个节点取样，让一个样本来代替整个路径。 • 当接收到一个数据包，每个路由器就以概率 p，选择性地将地址写到节点地址区间内。 • Victim通过一系列样本重构攻击路径 FREE IS ALL ! 33 节点取样算法 (Node Sampling) • 可以通过每个节点的相关数推理得到路径次序。 • 由于路由器被成序列地安排在一起，而且数据包被路由器标记的概率有一个概率基数，那么距离 victim越近的路由器被标记的概率就会越小。 • 每个路由器的概率基数是 p那么，经过 d级路由标记的概率就是 p(1p)d1 FREE IS ALL ! 34 节点取样算法 (Node Sampling) • 算法： Marking procedure at router R: for e。