IP数据分组溯源方法是指从目的地址出发,逐跳找到源主机。该方法在软件定义网络(SDN,software defined network)框架下,通过控制器向网络中相关SDN交换机添加探测流表项,并根据目标数据分组触发的有效溯源Packet-in消息,找到目标数据分...IP数据分组溯源方法是指从目的地址出发,逐跳找到源主机。该方法在软件定义网络(SDN,software defined network)框架下,通过控制器向网络中相关SDN交换机添加探测流表项,并根据目标数据分组触发的有效溯源Packet-in消息,找到目标数据分组的转发路径及源主机。所提方案可以为调试网络故障提供方便,使网络管理员可以得到任意一个数据分组的转发路径,应对IP地址欺骗等网络安全问题。实验证明,该溯源方法能够及时、准确地找到目标数据分组的转发路径,不影响网络中其他数据流转发,且无明显的系统开销。展开更多
僵尸物联网的出现使得拒绝服务攻击(Denial of Service,DoS)的破坏力进一步升级,而源地址伪造是导致DoS攻击一直难以被有效防御的重要原因.为此,研究者提出了可追踪匿名攻击源的IP溯源技术.在已提出的众多IP溯源方法中,动态确定包标记...僵尸物联网的出现使得拒绝服务攻击(Denial of Service,DoS)的破坏力进一步升级,而源地址伪造是导致DoS攻击一直难以被有效防御的重要原因.为此,研究者提出了可追踪匿名攻击源的IP溯源技术.在已提出的众多IP溯源方法中,动态确定包标记溯源因轻量、高效且易部署等特点,一经提出就立刻受到人们广泛关注.然而,现有方法在面对大规模攻击时仍存在因溯源规模受限、负载过于集中而引发的可扩展性问题.基于此,本文提出一种可扩展的动态确定包标记溯源方法,SEEK.一方面通过设计层次化的溯源联盟体系结构和动态调整包标记概率来均衡溯源设备负载,避免因性能瓶颈而制约系统的可扩展性;另一方面通过动态扩展标签装载域、分层复用标签空间和自适应管理标签来提高标签的可使用量和利用率,避免因标签资源不足而引发溯源规模受限,进而制约系统的可扩展性.通过理论分析和基于大规模真实拓扑的仿真实验,结果表明:相比以往同类典型方案,在绝大多数攻击场景下SEEK在扩展性和高效性方面都能提高20%以上.展开更多
文摘IP数据分组溯源方法是指从目的地址出发,逐跳找到源主机。该方法在软件定义网络(SDN,software defined network)框架下,通过控制器向网络中相关SDN交换机添加探测流表项,并根据目标数据分组触发的有效溯源Packet-in消息,找到目标数据分组的转发路径及源主机。所提方案可以为调试网络故障提供方便,使网络管理员可以得到任意一个数据分组的转发路径,应对IP地址欺骗等网络安全问题。实验证明,该溯源方法能够及时、准确地找到目标数据分组的转发路径,不影响网络中其他数据流转发,且无明显的系统开销。
文摘僵尸物联网的出现使得拒绝服务攻击(Denial of Service,DoS)的破坏力进一步升级,而源地址伪造是导致DoS攻击一直难以被有效防御的重要原因.为此,研究者提出了可追踪匿名攻击源的IP溯源技术.在已提出的众多IP溯源方法中,动态确定包标记溯源因轻量、高效且易部署等特点,一经提出就立刻受到人们广泛关注.然而,现有方法在面对大规模攻击时仍存在因溯源规模受限、负载过于集中而引发的可扩展性问题.基于此,本文提出一种可扩展的动态确定包标记溯源方法,SEEK.一方面通过设计层次化的溯源联盟体系结构和动态调整包标记概率来均衡溯源设备负载,避免因性能瓶颈而制约系统的可扩展性;另一方面通过动态扩展标签装载域、分层复用标签空间和自适应管理标签来提高标签的可使用量和利用率,避免因标签资源不足而引发溯源规模受限,进而制约系统的可扩展性.通过理论分析和基于大规模真实拓扑的仿真实验,结果表明:相比以往同类典型方案,在绝大多数攻击场景下SEEK在扩展性和高效性方面都能提高20%以上.
