·· 通信学报 第29卷 第9期 金光等：防御分布式拒绝服务攻击的优化路径标识模型 ·· 第29卷第9期 通信学报 Vol.29No.9 2008年9月 JournalonCommunications September2008 防御分布式拒绝服务攻击的优化路径标识模型 金光1,2，杨建刚1，李渊2，张会展2 （1.浙江大学计算机科学与技术学院，浙江杭州310027；2.宁波大学信息科学与工程学院，浙江宁波315211） 摘要：为防御互联网拒绝服务攻击，路径标识(Pi)技术为快速区分和过滤攻击包提供了有效手段，基于此提出优化路径标识方案OPi，与已有方案中各路由器插入1或2位标记不同，路由器根据包的当前TTL值，推算已经过的距离，分别插入1~16位可变长标记，最大程度利用标记域空间。相比以往方案，尤其当攻击路径和合法路径严重混杂时，OPi区分程度更高。考虑到攻击包会随机产生TTL初值来扰乱OPi标识，进一步提出了OPi+TTL的过滤方案。理论分析和基于大规模真实互联网拓扑的仿真实验表明，OPi的防御效果较理想。 关键词：互联网安全；分布式拒绝服务攻击；数据包标记；路径标识 中图分类号：TP393.08文献标识码：A文章编号：1000-436X(2008)09-0046-08 OptimalpathidentificationtodefendagainstDDoSattacks JINGuang1,2,YANGJian-gang1,LIYuan2,ZHANGHui-zhan2 (1.CollegeofComputerScienceandTechnology,ZhejiangUniversity,Hangzhou310027,China;2.CollegeofInformationScienceandEngineering,NingboUniversity,Ningbo315211,China) Abstract:Anovelpacketmarkingscheme,optimalpathidentification(OPi),wasproposedtodefendagainstDDoSattacks.Insteadofusingfixed1or2bitinpreviousschemes,inOPiarouterdeducesthetravelingdistanceofanarrivedpacketbyitsTTLvalueandinsertsavariable-lengthmarkingof1~16bitintothepacket.Themarkingfieldisfilledcompletelyeventhepathisveryshortandthedistinguishabilityisimproved.OPioutperformspreviousschemes,especiallywhenattackerpathsadjoinuserpathsseriously.Toobtainbetterperformance,anOPi+TTLfilteringstrategywasproposedtofrustrateattackers’trieswithspoofedinitialTTLvalues.TheoreticalanalysesandsimulationswithactualInternettopologiesshowOPiperformsexcellently. Keywords:Internetsecurity;DDoSattack;packetmarking;pathidentification 1引言 收稿日期：2007-05-14；修回日期：2008-08-27 基金项目：浙江省自然科学基金资助项目(Y106023)；宁波市自然科学基金资助项目(2006A610014) FoundationItems:TheNaturalScienceFoundationofZhejiangProvince(Y1061023);TheNaturalScienceFoundationofNingbo(2006A610014) 拒绝服务攻击(DoS,denialofservice)尤其是分布式拒绝服务攻击(DDoS,distributedDoS)是最严重的互联网安全威胁之一，其影响日趋显著。目前甚至已有超过10万台主机构成的僵尸网络[1]，可被用来策动超大规模攻击。防御DDoS攻击是网络安全的主要研究内容之一，近几年涌现了许多新的防御技术手段[2]，各有特点。所有防御技术可分为4类：预防、检测、响应和消除。预防的代表方案是入口过滤[3]，要求各入口路由器阻止伪造源地址的包进入网络。新的检测技术倾向于寻找更多的异常链路特征[4