@信仰
1年前 提问
1个回答

基于目的端的IP地址溯源攻击检测机制方法有哪些

GQQQy
1年前

基于目的端的IP地址溯源攻击检测机制方法有以下这些:

  • 输入调试法:输入调试法(Input Debugging)利用了路由器的输入调试机制,通过设置输入调试过滤器判断某种特征的报文流是从路由器的哪个网络接口进入的。在输入调试法中,受害者必须首先识别出攻击,构造攻击特征,描述在攻击报文中包含的共同特征。其次受害者与上游路由器通信,在上游路由器的输出端口加载该特征作为输入调试过滤器,这样可以揭示产生攻击流量的相关联的输入端口及上游路由器。这个过程重复进行直到到达最初的源端。这一机制需要付出很高的管理代价以及网络、路由器开销,通常需要熟练的网络工程师手动参与调试过滤器的加载等工作。

  • 受控洪泛法:受控洪泛法(Controlled Flooding)通过用突发的网络流量洪泛链路并观察效果来检测链路。洪泛受害者紧邻路由器的每个入口链路,其原因在于任何报文(包括攻击者发送的报文)通过超载链路时必然产生很高的丢包率。因此,受害者可以从攻击报文的速率变化推断出攻击链路。这一基本过程在上游路由器上重复执行直到到达攻击源。这一方法的缺点是其在发生攻击时将造成更严重的网络拥塞,产生很大的网络开销。

  • 报文标记法:报文标记的思想是在报文中记录它经过的路径,受害者可以使用报文中的标记信息对攻击进行追踪。报文标记方法可以分为路径标记法和源路由器标记法两种。路径标记法中,报文经过的路径上的路由器对报文进行标记,一般是概率性的,通过这些标记报文可以推断出报文经过的大概路径。路径标记法的优点在于不依赖于源路由器,可以在获得一定的中间路由器标记的基础上,得到部分路由路径,并通过一些设置阻止流量攻击。这种方法也被称为概率性报文标记。源路由器标记方法中,由源路由器对每个报文进行标记,这种方法可以找到攻击报文的源头并进行过滤。这种方法由源路由器对每个报文进行标记,也被称为确定性报文标记。

  • 流量日志法:基于流量的溯源方法在流量经过的中间路径上采集流量数据,在发生攻击事件时,通过和路径上的流量数据匹配,找到攻击流量的来源。