[转载]拒绝服务攻击对策及网络追踪的研究论文

文章作者：李德全 信息安全国家重点实验室

随着网络技术和网络应用的发展，网络安全问题显得越来越重要。拒绝服
务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题
之一，给网络社会带来了极大的危害。同时，拒绝服务攻击也将是未来信息战
的重要手段之一。因此，研究拒绝服务攻击及其对策是极为重要的。
本文对拒绝服务攻击及其对策作了较深入的研究，尤其在拒绝服务攻击的
追踪方面取得了一定的成果。
在本文中，我们首先研究了拒绝服务攻击的攻击机制、方法及其对策，并
对以包标记的方式追踪拒绝服务攻击的来源的各种方法进行了深入的研究，分
析了它们各自的优缺点，并对基本包标记方案作了改进，使得其攻击路径重构
时的运算量和重构的误报率在原有基础上大为降低，达到或超过了其他一些方
案的水平。
针对现有包标记方法采用固定标记概率，导致受害者需要很多数据包重构
攻击路径以及攻击者可以伪造标记信息，干扰受害者进行追踪的缺点，我们提
出了一个自适应的标记策略并给出了一个较好的标记概率。采用我们提出的自
适应标记策略，既可显著减少路径重构时对数据包的需求量，从而使得受害者
可以更快捷地追踪到攻击源，为受害者尽快响应攻击，减少攻击带来的损失创
造了条件，又使得攻击者的伪造信息难以传送到受害者，这使得攻击者难以陷
害他人、难以增大追踪的不确定性，同时，攻击者之间也难以相互掩护。我们
的自适应策略既可以用来增强已有的标记方案，也可以作为新的标记方案的组
成部分。
针对现有方法标记IP 地址或相关信息导致重构攻击路径需要过多的数据包
并产生过多误报的缺点，本文提出了对路由器重新编码的方案，与IP 地址能够
全球定位相反，该方案只在网络的局部对系统进行定位，这使得以较小的数据
空间标识网络中的系统（特别是路由器）成为可能。我们在此基础上提出了一
个基于路由器编码的自适应包标记方案，该方案无论在路径追踪的运算量上、
在追踪的误报率上，还是在追踪所需的数据包的数量上（这与在攻击中进行追
踪所需的时间紧密相关，从而直接影响到对攻击响应的快慢）等多个方面都比
同类的方法优越。