1.一种可动态扩展的高效单包溯源方法,其特征在于,包括以下步骤:在由transit域构成的域间网络中,利用所有的溯源Stub域(即具备溯源功能的stub域)构成反匿名联盟,所述的反匿名联盟通过在各个溯源Stub域的边界路由器上配置ACL过滤规则,使得所有即将流入域间网络的匿名包被清理;在各个溯源Stub域内通过构建溯源网络,并在所述的溯源网络内建立路径指纹;当攻击发生后,通过利用所述的反匿名联盟,网络服务提供商直接利用匿名包的源地址及入口路由器定位攻击域,然后再通过提取所述的路径指纹还原攻击路径。
2.根据权利要求1所述的可动态扩展的高效单包溯源方法,其特征在于,所述的在各个溯源Stub域的边界路由器上配置ACL过滤规则,使得所有即将流入域间网络的匿名包被清理,包括以下步骤:
a,利用自治域地址块与子网网络前缀的绑定关系,在成员域边界路由器的访问控制列表上配置相关的出口过滤规则;
b,边界路由器检查每一个即将流出本自治域的IP包,如果其源地址属于本自治域归属的网络前缀,则直接转发;反之,转到S33;
c,检查所述IP包的源地址,若IP包的源地址不属于本自治域归属的网络前缀,但目的地址不属于反匿名联盟成员域,则直接转发;反之,转到S34;
d,检查所述IP包的源地址,若IP包的源地址不属于本自治域归属的网络前缀,但目的地址属于反匿名联盟成员域,则执行包过滤。
3.根据权利要求1所述的可动态扩展的高效单包溯源方法,其特征在于,所述的反匿名联盟为一种由过滤对等体构成的集合(即各个溯源Stub域之间均为过滤对等体);所述过滤对等体(ASi,ASj)即如果自治域ASi阻止流向自治域ASj的匿名包,当且仅当ASj也阻止流向ASi的匿名包,从而排除非联盟成员以搭便车的方式享受匿名包过滤的权利,进而提高自治域加入联盟的积极性。
4.根据权利要求1所述的可动态扩展的高效单包溯源方法,其特征在于,所述的溯源网络通过以下方法进行建立:
首先,将OSPF协议的第11种备用的链路状态通告LSA重新定义为溯源LSA;
其次,各溯源路由器利用底层OSPF协议交换溯源LSA信息的契机,建立溯源网络;
最后,OSPF协议的LSA更新机制确保溯源路由器的动态加入和故障处理。
5.根据权利要求1所述的可动态扩展的高效单包溯源方法,其特征在于,所述的在溯源网络内建立路径指纹包括以下步骤:当溯源路由器接收到IP包时,判断该IP包是否来自上游节点,如果是来自上游节点的IP包,但是在当前的溯源转发表中不包含该IP包的信息,则溯源路由器提取该IP包的标记域信息并添加到溯源转发表中,然后为其指定新的出标记和下游链路ID;如果是来自上游节点的IP包,并且在当前的溯源转发表中已经包含该IP包的信息,则溯源路由器为其指定新的出标记和下游链路ID;如果所述的IP包不是来自上游节点,则溯源路由器标记该IP包的出标签为标准出口标记1,并指定下游链路ID。
6.根据权利要求1所述的可动态扩展的高效单包溯源方法,其特征在于,所述的当攻击发生后,通过利用所述的反匿名联盟,网络服务提供商直接利用匿名包的源地址及入口路由器定位攻击域,然后再通过提取所述的路径指纹还原攻击路径,包括以下步骤:
S1,联盟注册服务器动态维护反匿名联盟成员域的信息,管理和控制成员的加入或退出;
S2,规则管理器与联盟注册服务器进行通信,完成自身注册后,获取所有成员域的网络前缀信息及其自治域唯一识别号(AS Number,简称ASN);
S3,当遭到联盟成员域的攻击后,受害域的溯源管理器发起域内溯源请求,通过提取溯源网络上的路径指纹信息还原攻击包在本域的转发路径,进而确定出入口路由器的位置;
S4,判断所述的入口路由器是否为边界过滤路由器;如果不是,则该攻击属于域内攻击,通过提取所述的路径指纹进行攻击路径重构;否则该攻击属于域外攻击,溯源管理器向反匿名联盟管理器发起域间溯源请求;反匿名联盟管理器将攻击包的源地址与联盟成员的网络前缀逐一进行匹配;若匹配到攻击域并成功验证其自治域唯一识别号,则向所述的攻击域所属的溯源管理器发起请求,完成攻击域内的攻击路径重构;若未匹配到攻击域或者验证自治域唯一识别号失败,则表明攻击域未加入反匿名联盟,出现溯源断层,终止溯源任务。
7.根据权利要求6所述的可动态扩展的高效单包溯源方法,其特征在于,具体通过以下方法进行攻击路径重构,定位出攻击者:
d1,受害者识别攻击包并提取攻击包所携带的标记,生成取证请求[p.destination,p.label]并转发给受害域的溯源管理器;
d2,所述的溯源管理器收到请求后,通过将匿名包的目的地址p.destination与溯源网络拓扑结构相结合,确定p攻击受害者之前流过的最后一个溯源路由器,即出口路由器,将取证信息[p.destination,p.label]转发到该出口路由器;
d3,所述的出口路由器接收请求后,将取证信息中的p.destination与溯源转发表及扩展表相匹配,确定相应的上游链路,然后从扩展表的Labelout中找出与p.label相等的表项,提取出相应的[Labelin,LinkID],以此类推,若所获得的Labelin为标准标记1,则该攻击类型为域内攻击,此时已完成攻击路径重构,定位到攻击者;否则,转发所述的取证信息[Labelin,LinkID]至上游节点;
d4,若所述的上游节点不是该域的边界过滤路由器,则重复步骤d3,直至上游节点为该域的边界过滤路由器,则完成受害域内的路径指纹的提取,并提取出此时Labelin值,返回给溯源管理器;
d5,溯源管理器向反匿名联盟管理器发起载有[Labelin,样本包=p]的域间请求,由反匿名联盟管理器定位攻击域,并依据取证信息[Labelin,样本包=p],按照d1、d2、d3所述的原理,完成攻击域内的路径指纹提取,定位出攻击者。
8.根据权利要求6所述的可动态扩展的高效单包溯源方法,其特征在于:通过利用轻量的Hash认证技术来验证自治域唯一识别号,具体包括以下步骤:
Step1,自治域ASi向反匿名联盟管理器注册时,提交网络前缀和自治域唯一识别号,反匿名联盟管理器向所述的自治域ASi随机指定一个Hash函数;每个准备流出自治域ASi的IP包都载有该域的ASN的Hash值,Hash=Hash(ASN);
Step2,当从自治域ASi流出的IP包p到达联盟内其他自治域的边界过滤路由器时,所述的边界过滤路由器根据路径指纹建立原理,将p载有的[Hash值,出标记]写入路由器的扩展的溯源转发表中,然后将新分配的[出标记,下游链路编号]写入到p中;
Step3,如果包p为攻击包,受害域遭受攻击后,受害域的溯源管理器发起域内溯源,提取攻击包的路径指纹,确定入口路由器为边界过滤路由器,即该攻击者不属于域内攻击后,边界过滤路由器将扩展的溯源转发表中的包p的[Hash值,出标记]返回给溯源管理器,溯源管理器向反匿名联盟管理器发起域间溯源请求;
Step4,反匿名联盟管理器收到请求后,提取包p的源地址,并将它逐一与联盟成员的网络前缀进行匹配,获得匹配成功的值ASN=ASi以及ASi对应的Hash函数,计算出hash’=Hash(ASN);
Step5,判断hash’与Hash是否相同,若是,则说明自治域ASi就是攻击域,进而向ASi的溯源管理器发起域内溯源请求;否则,该自治域ASi不属于联盟成员,溯源结束。
9.根据权利要求5、7或8所述的可动态扩展的高效单包溯源方法,其特征在于,溯源路由器采用基于边着色理论的溯源地址分配策略,为溯源网络中的链路进行编码,从而防止因编码过长而带来的存储开销较大的问题;通过重载IP包头的Identification字段作为标记域,用于存放链路编码,从而在不影响互联网包分片操作的条件下完成指纹建立;溯源路由器还为每条溯源路径独立分配具备唯一性的路径识别符——标记,并将所述的标记与链路编码一同写入标记域中。
10.根据权利要求5、7或8所述的可动态扩展的高效单包溯源方法,其特征在于,所述的溯源转发表为增量式的溯源转发表,具体通过以下方法建立:
首先,遍历路由最短路径树,并根据各个节点的类型建立溯源路径压缩树;
其次,若有新增溯源节点加入,则基于OSPF协议更新最短路径树,获取以该新增溯源节点作为根节点的溯源路由器集;并定位当前的溯源路径压缩树中距离该新增溯源节点最近的祖先节点;
再次,将所述的新增溯源节点插入当前的溯源路径压缩树中,并调用TPT-growth方法,迭代修改其孩子节点;
最后,根据更新后的溯源路径压缩树建立增量式的溯源转发表。