技术领域
[0001] 本
发明涉及一种地址分离映射网络中分布式拒绝服务攻击(DistributedDenial of Service,简称DDoS)防御方法,属于网络技术领域。
背景技术
[0002] 由于Internet中IP地址同时充当了终端身份标识和路由
位置标识的双重功能,这使得网络核心暴露在动态变化的边缘网络面前,而随着用户数量的增加以及多家乡、流量工程、策略路由等技术的广泛应用,互联网路由体系面临着严重的可扩展问题,具体表现在:(1)Default Free Zone(DFZ)路由表超线性增长,远远超出当前
硬件设计能
力。(2)DFZ中边界网关协议(Border GatgewayProtocal,简称BGP)更新消息的数量激增,消耗了大量的网络带宽和计算资源。
[0003] 可扩展问题严重制约着Internet的健康发展,为此研究人员先后提出了一系列解决方案。其中尤以“身份标识与位置标识分离(Identifier/LocatorSeparation)”著名,已经成为主流的设计思路,Cisco等设备提供商及“Internet Research Lab”等著名实验室均提出了专有方案及相应标准;在国内,北京交通大学下一代互联网研究中心设计并实现了“地址分离映射网络”,拥有巨大的应用前景,本发明就是在该网络体系下探讨一种新型DDoS防御方法。
[0004] 如图1所示,“地址分离映射”技术将互联网划分为传输网络和边缘网络。其中传输网络负责数据包路由交换,使用路由地址完成域间路由功能;边缘网络负责发送或接收数据包,并使用接入地址完成网络内路由功能。假设图1中源端A、对端B的接入地址(Access Address,简称CA)分别为CAA、CAB,对应的路由地址(Routing Address,简称RA)分别为RAA和RAB,源端A对应的接入路由器(Access Routing,简称AR)为源端接入路由器AR1,对端B对应的接入路由器为对端接入路由器AR2,源端A对应的边界路由器(Border Routing,简称BR)为BR1,对端B对应的边界路由器为BR2,则“地址分离映射”技术工作流程为:
[0005] (1)源端A向对端B发送数据包P,其源地址为CAA,目的地址为CAB。
[0006] (2)P到达BR1后,BR1根据目的地址CAB,将P转发到AR1。
[0007] (3)AR1接收到P后,首先查询缓存或标识映射系统(AccessAddress-Routing Address Mapping System,简称ARMIS)以获得与CAB对应的路由地址RAB;而后分别以RAA,RAB为源地址和目的地址替换掉P中的CAA、CAB,并向传输网络(Transmit Network,简称TN)转发新生成的数据包P′。
[0008] (4)接收到P′后,AR2将源地址和目的地址重新替换成CAA,CAB,并转发原始数据包P。
[0009] (5)BR2将P转发到终端B。
[0010] 可见在“地址分离映射网络”中,传输网络TN基于路由地址构建域间路由,这样无论边缘网络采用何种编制方式,互联网服务提供商(Internet ServiceProvider,简称ISP)均可依照Rekhter法则最优分配路由地址。当边缘网络使用多家乡、流量工程、策略路由等技术时,ISP只需调整接入地址和路由地址之间的映射关系即可避免地址的次优分配。因此“地址分离映射”技术必将大大减小传输网络中的路由信息
数据库(Routing Information Base,简称RIB)与转发信息数据库(Forwarding Information Base,简称FIB),进而降低BGP更新报文的数量。可以说“地址分离映射”技术有效解决了当前Internet中存在的可扩展问题。
[0011] 然而Internet的安全性问题同样是人们关注的焦点,在新的协议体系设计之初即将网络安全问题考虑在内已经成为互联网研究领域的共识。研究发现
现有技术中的“身份标识与位置标识”技术易于遭受DDoS攻击。“地址分离映射”技术同样面临严重的DDoS威胁,针对AR1、AR2或接收端发动DDoS攻击,可以轻松地中止普通用户的正常通信。因此如何抵御DDoS必将是“地址分离映射网络”体系成熟与完善的关键。但是目前针对这一问题的研究较少,并未出现妥善的技术方案。本发明在“地址分离映射网络”中,创新性地提出了一种可部署、可操作的新型DDoS攻击防御方法,成功弥补了国内外研究的不足,具有很强的前瞻性。
[0012] DDoS是最为危险的网络攻击方式之一,如何防御DDoS一直是网络安全研究的热点,研究人员已提出众多的解决方案。然而在这些DDoS攻击防御技术中,只有包标记技术和TVA技术是从路由体系的
角度解决DDoS,不会影响传输层、应用层新协议的开发与部署,最大限度地保持了互联网技术的开放性,与本发明最为相关。然而这两种技术并不适用于“地址分离映射网络”环境,其自身存在严重的安全性与有效性
缺陷。
[0013] 一、包标记技术将“路由器地址信息”标记到数据包中以追踪DDoS来源,从而达到威慑攻击者的目的。其具体操作是:当数据包通过路由器时,路由器以固定概率p将其“地址信息分
块”标记到数据包“IP首部”中的“Identification”和“ToS”域,这样当受害者接收到足够多的攻击数据包后,就可以从这些信息中重构出从攻击者到受害者之间的路径信息。
[0014] 包标记技术不适用于“地址分离映射”的网络环境,原因如下:
[0015] (1)与其它网络技术冲突。包标记技术往往将路由器地址信息直接填写到IP首部中的“Identification”域和“TOS”域,不利于接收方重组数据包并与“服务
质量保证”需求产生冲突。
[0016] (2)计算复杂。在接收端,来自于不同攻击路径的大量路由地址信息混杂在一起,受害者只能通过枚举计算的方法重构攻击路径,存在严重的组合爆炸问题,对于抵御大规模DDoS不具备实用性。
[0017] (3)无法为其它网络安全技术提供信息
支撑。当受害者接收到足够的数据包,并通过排序重构出攻击路径后,即不能利用这些信息区分攻击数据包与普通数据包,又不能依据此信息阻断恶意流量,只能通过法律手段威慑攻击者,费时费力,难以满足互联网动态深度防御的安全需求。
[0018] 二、TVA技术
[0019] 为了避免DDoS中高强度攻击数据流对网络造成危害,必须在恶意数据流聚合之前就对这些数据流进行必要的处理。TVA技术满足了这些数据流的处理要求,其具体操作步骤为:(1)当发送者A有数据向目的端B发送时,首先向B发送“
请求报文”,以期获得目的端的接入
许可;(2)B响应A的接入请求,如果允许A与其通信,则生成并发送“通信许可报文”,其中记录了B允许A发送的数据包数,通信时间等信息;(3)接收到“通信许可报文”后,A向B发送数据,并且每一个数据包中均携带一份“通信许可报文”;(4)在路由体系中部署验证
节点,负责记录数据流的通信状态,如果发现A向B发送的流量超过“通信许可报文”允许的范围,则直接丢弃这些数据包。
[0020] TVA技术存在以下缺陷:
[0021] (1)无法适应互联网中大量存在的往返路径不对称现象,大多数情况下TVA技术并不能有效阻止DDoS攻击。
[0022] (2)数据包携带的路径标识信息过大,浪费了大量的网络带宽,并且由于Internet中网络路径平均长度为15,请求报文必将超过路径MTU,造成分片,严重降低通信性能。
[0023] (3)无法验证“通信许可报文”来源的真实性,恶意网络节点可以利用TVA方案发动新型DDoS攻击。
[0024] (4)恶意节点可以通过发送大量无用的“请求报文”发动针对路由器或接收端的DDoS攻击。
[0025] 综上所述,包标记技术可应用于“地址分离映射”网络体系,但是包标记技术是一种事后机制,计算复杂,其得到的路径信息即不能利用这些信息区分攻击数据包与普通数据包,又不能依据此信息阻断恶意流量,只能通过法律手段威慑攻击者,费时费力,难以满足互联网动态深度防御的安全需求。而TVA技术可以应用于“地址分离映射”网络体系,但是在TVA技术中,数据包携带的路径标识信息过大,通信效率低,并且本身便存在严重的安全威胁。
发明内容
[0026] 为了克服现有技术结构的不足,本发明在“地址分离映射”网络体系中,创新性地提出了一种可部署、可操作的新型DDoS防御方法,其通过数据包准入机制抵御恶意节点针对接入路由器发起的DDoS攻击,从而保障方案本身的安全性;同时,在“地址分离映射”网络中设计一种基于令牌的流量控制机制,确保只有在获得接收端允许后,数据源端才能向接收端发送数据,从而从根本上阻止了DDoS攻击发生的可能性。本发明解决其技术问题所采用的技术方案是:
[0027] 地址分离映射网络中DDoS防御方法,其包括:数据包准入机制和基于令牌的流量控制机制。
[0028] 主机A位于边缘网络(Edge Network)EN1,其身份标识为CAA,主机B位于边缘网络EN2,身份标识为CAB,对应的路由地址分别为RAA和RAB,则本发明的防御方法步骤如下:
[0029] 步骤1:A向B发送“请求报文”P1request,其源地址为CAA,目的地址为CAB。所述P1request是一个仅有首部的IP数据包,特殊地,其“标记字段(Flag)”域的第一位设定为1。
[0030] 步骤2:所述P1request到达边界路由器BR1后,BR1生成谜题N和K,并将其封装成
载荷Ppuzzle发送给A,其中N为BR1为每60s进行一次周期更新的一个伪随机数,K为BR1根据其负载情况设定的谜题难度。
[0031] 步骤3:接收到所述Ppuzzle后,A按照公式(1)进行枚举计算,生成谜题答案报文NC和S,并将这两个报文参数封装成载荷Panswer发送给BR1。
[0032]
[0033] 在公式(1)中,prf()表示伪随机函数,CA代表终端的接入地址,NC和S值应使得
摘要值的前K位为0,X为摘要值的剩余部分,可以为任意值。
[0034] 步骤4:接收到所述Panswer后,BR1首先使用公式(1)验证谜题答案。若其不正确,则直接丢弃载荷;否则,BR1生成P2request,其源地址和目的地址分别与所述Panswer相同,“标记字段(Flag)”第一位设定为1,而后BR1将所述P2request转发给AR1。
[0035] 步骤5:AR1规定每一个面向边缘网络的
接口最多保留5%的带宽用于接收终端用户的“请求报文”。接收到所述P2request后,AR1将执行以下操作:
[0036] (1)AR1通过查询数据库得到A的状态信息SA(AR1为每一用户维护了一个状态信息S,并配置了相应常数Sd、Scutoff、Sreuse)。
[0037] (2)AR1将SA增加Sd,即SA’=SA+Sd,并将SA’值保存到数据库中SA的存储位置。
[0038] (3)AR1比较SA’与Scutoff。如果SA’>Scutoff,则执行步骤(4);否则执行步骤(5)。
[0039] (4)AR1终止处理程序,并丢弃数据包P2request;同时SA’按指数规律衰减,即如果在t1时刻,P1>Pcutoff,则到t2时刻时 其中H为一个预定的常数。在SA’衰减到小于预定值Preuse之前,AR1不允许A发送任何信息。
[0040] (5)AR1首先查询缓存或ARMIS以获得与CAB对应的路由地址RAB;之后AR1以RAA为源地址,RAB为目的地址替换掉所述P2request中的CAA和CAB,并向传输网络转发新生成的数据包P′request。
[0041] 步骤6:AR2同样规定每一个面向传输网络的接口最多保留5%的带宽用以接收用户发送的请求信息,并为每一用户维护了一个状态信息S,配置常数Sd、Scutoff、Sreuse。接收到所述P′request后,AR2首先按照与AR1相同的方式操作SA,然后将所述P′request的源地址和目的地址替换回CAA、CAB,并将得到的P3request数据包转发给BR2。
[0042] 步骤7:BR2将所述P3request转发到终端B。
[0043] 步骤8:B根据其负载状况或用户优先权列表对所述P3request进行处理,如果允许A与其通信,则生成并发送“准入令牌”-TokenA,该令牌中主要包含了四部分数据:(1)时间戳:生成该令牌的时间;(2)NA:表示B允许A发送的数据大小,单位为比特;(3)TA:表示B允许的最大通信持续时间;(4)签名信息:B使用其私钥对NA、TA及时间戳的签名。此后,B将TokenA与其拥有的数字证书一起封装成数据包PToken发送给A。
[0044] 步骤9:所述PToken经BR2到达AR2进行令牌报文。
[0045] 步骤10:地址替换后经AR2到达AR1,进行令牌报文。
[0046] 步骤11:AR1首先使用B数字证书中的公钥信息验证所述PToken中的签名,以确定其真实来源。如果所述PToken确为B发送,则AR1将NA,TA,CAA存入缓存,并向BR1转发所述PToken;否则,AR1直接丢弃所述PToken。
[0047] 步骤12:BR1将所述PToken转发到终端A。
[0048] 步骤13:A同样使用B数字证书中的公钥信息验证所述PToken中的签名,以确定其真实来源。如果所述PToken为其它用户伪造,则A直接将其丢弃;否则,A启动正常通信例程,假设此时其向B发送的普通数据包为P。
[0049] 步骤14:BR1将所述P转发到AR1。
[0050] 步骤15:AR1记录用户A向B发送的数据包数及通信时间,如果其超过缓存中NA,TA允许的范围,则AR1将丢弃所述P,并向A发送通告;否则,AR1完成封装后向传输网络转发所述P。
[0051] 步骤16~17:P按照“地址分离映射”技术的正常流程到达B。
[0052] 其中,所述数据包准入机制包括步骤1~步骤7部分;所述基于令牌的流量控制机制包括步骤8~步骤17部分。
[0053] 本发明的有益效果
[0054] (1)本发明第一次在“地址分离映射”的网络体系中提出了一种安全完善的DDoS防御方法,成功弥补了国内外研究的不足,具有重要意义和极大的实用价值。
[0055] (2)本发明设计了一种有效的流量控制机制,确保只有在获得接收端允许后,数据源端才能向接收端发送数据,从根本上杜绝DDoS攻击发生的可能性。与现有技术相比,该机制具有通信效率高、计算复杂性低的特点。同时该技术还有效保持了“地址分离映射”网络体系的开放性,不会与其它协议冲突,有利于新技术的部署和技术创新。
[0056] (3)本发明提出了一种新型准入机制,以抵御恶意节点针对AR1和AR2发起的DDoS攻击,保障方案本身的安全性。
[0057] (4)本发明主要部署于边界路由器和接入路由器,有效避免了互联网中大量存在的往返路径不对称现象对DDoS防御方案造成的不利影响。
附图说明
[0058] 图1现有技术中地址分离映射网络示意图;
[0059] 图2是根据本发明的基于地址分离映射技术的DDoS防御方法;
[0060] 图3是本发明的地址分离映射网络中DDoS防御方法的交互
流程图。
具体实施方式
[0061] 下面结合附图和具体实施方式对本发明作进一步详细描述:
[0063] 如图2所示,假设主机A位于边缘网络EN1,其身份标识为CAA,主机B位于边缘网络EN2,身份标识为CAB,对应的路由地址分别为RAA和RAB。参看图3中的协议交互流程图,本发明的防御方法步骤如下:步骤1:A向B发送“请求报文”Prequest,其源地址为CAA,目的地址为CAB。Prequest是一个仅有首部的IP数据包,特殊地,其“标记字段(Flag)”域的第一位设定为1。
[0064] 步骤2:Prequest到达边界路由器BR1后,BR1生成谜题N,K并将其封装成载荷Ppuzzle发送给A。其中N为BR1周期更新(每60s)的一个伪随机数,K为BR1根据其负载情况设定的谜题难度。
[0065] 步骤3:接收到Ppuzzle后,A按照公式(1)进行枚举计算,生成谜题答案NC和S,并将这两个参数封装成载荷Panswer发送给BR1。
[0066]
[0067] 在公式(1)中,prf()表示伪随机函数,CA代表终端的接入地址,NC和S值应使得摘要值的前K位为0。X为摘要值的剩余部分,可以为任意值。
[0068] 步骤4:接收到Panswer后,BR1首先使用公式(1)验证谜题答案。若其不正确,则直接丢弃载荷;否则,BR1生成Prequest,其源地址和目的地址分别与Panswer相同,“标记字段(Flag)”第一位设定为1,而后BR1将Prequest转发给AR1。
[0069] 步骤5:AR1规定每一个面向边缘网络的接口最多保留5%的带宽用于接收终端用户的“请求报文”。接收到Prequest后,AR1将执行以下操作:
[0070] (1)AR1通过查询数据库得到A的状态信息SA(AR1为每一用户维护了一个状态信息S,并配置了相应常数Sd、Scutoff、Srense)。
[0071] (2)AR1将SA增加Sd,即SA’=SA+Sd,并将SA’值保存到数据库中SA的存储位置。
[0072] (3)AR1比较SA’与Scutoff。如果SA’>Scutoff,则执行步骤(4);否则执行步骤(5)。
[0073] (4)AR1终止处理程序,并丢弃数据包Prequest;同时SA’按指数规律衰减,即如果在t1时刻,P1>Pcutoff,则到t2时刻时 其中H为一个预定的常数。在SA’衰减到小于预定值Preuse之前,AR1不允许A发送任何信息。
[0074] (5)AR1首先查询缓存或ARMIS以获得与CAB对应的路由地址RAB;之后AR1以RAA为源地址,RAB为目的地址替换掉Prequest中的CAA和CAB,并向传输网络转发新生成的数据包P′request。
[0075] 步骤6:AR2同样规定每一个面向传输网络的接口最多保留5%的带宽用以接收用户发送的请求信息,并为每一用户维护了一个状态信息S,配置常数Sd、Scutoff、Sreuse。接收到P′request后,AR2首先按照与AR1相同的方式操作SA,然后将P′request的源地址和目的地址替换回CAA、CAB,并将得到的Prequest数据包转发给BR2。
[0076] 步骤7:BR2将Prequest转发到终端B。
[0077] 步骤8:B根据其负载状况或用户优先权列表对Prequest进行处理,如果允许A与其通信,则生成并发送“准入令牌”——TokenA,该令牌中主要包含了四部分数据:(1)时间戳:生成该令牌的时间;(2)NA:表示B允许A发送的数据大小,单位为比特;(2)TA:表示B允许的最大通信持续时间;(3)签名信息:B使用其私钥对NA、TA及时间戳的签名。此后,B将TokenA与其拥有的数字证书一起封装成数据包PToken发送给A。
[0078] 步骤9~10:PToken经BR2、AR2到达AR1。
[0079] 步骤11:AR1首先使用B数字证书中的公钥信息验证PToken中的签名,以确定其真实来源。如果PToken确为B发送,则AR1将NA,TA,CAA存入缓存,并向BR1转发PToken;否则,AR1直接丢弃PToken。
[0080] 步骤12:BR1将PToken转发到终端A。
[0081] 步骤13:A同样使用B数字证书中的公钥信息验证PToken中的签名,以确定其真实来源。如果PToken为其它用户伪造,则A直接将其丢弃;否则,A启动正常通信例程,假设此时其向B发送的普通数据包为P。
[0082] 步骤14:BR1将P转发到AR1。
[0083] 步骤15:AR1记录用户A向B发送的数据包数及通信时间,如果其超过缓存中NA,TA允许的范围,则AR1将丢弃数据包P,并向A发送通告;否则,AR1完成封装后向传输网络转发P。
[0084] 步骤16~17:P按照“地址分离映射”技术的正常流程到达B。
[0085] 其中,所述准入机制包括步骤1~步骤7部分;所述基于令牌的流量控制机制包括步骤8~步骤17部分。
[0086] 实施例2
[0087] 在本发明的部署中,需要对“地址分离映射”网络中的一些网络构件进行功能扩展,主要包括:
[0088] (1)终端A、B:支持本发明提出的新型准入机制,即能够解答谜题、发送消息(3);支持本发明提出的基于令牌的新型流量控制机制,即能够发送消息(1)、接收并处理请求报文、生成Token、验证Token的来源以及依据Token内容发送数据包。
[0089] (2)BR1:支持本发明提出的新型准入机制,即能够周期更新(每60s)的伪随机数N、能够根据负载状况设定谜题难度K、能够依据终端用户发送的请求报文生成谜题并发送消息(2)、能够验证谜题答案、能够依据谜题答案报文(消息(3))重新生成请求报文(消息(4))。
[0090] (3)AR1:支持本发明提出的新型准入机制,即为每一用户维护了一个状态信息S,配置常数Sd、Scutoff、Sreuse,并依据用户发送的请求报文
频率更新S值,完成步骤5规定的各项操作;支持本发明提出的基于令牌的新型流量控制机制,即接收并验证Token的来源、存储Token中的N、T、CA等信息、
跟踪终端用户发送的流量情况并做出控制。
[0091] (4)AR2:支持本发明提出的新型准入机制,即为每一用户维护了一个状态信息S,配置常数Sd、Scutoff、Sreuse,并依据用户发送的请求报文频率更新S值,完成步骤6规定的各项操作。
[0092] 此外,每一终端还应拥有一个唯一标识其身份的数字证书,接入路由器应支持数字证书的有效性检查。
