鲁宁  等:联盟模式下高效单包溯源方法研究                                                            3905


         中,它们通过构建层次化的基于标签替换的信任联盟来验证源地址真实性.TIST 的溯源联盟与 SAVI 的信任联
         盟并不冲突,反而可以将前者整合到后者的网络上.图 22 给出了整合示例,具体操作步骤如下.
             a.   已知信任联盟既包含 Stub 域,也包含 Transit 域,而溯源联盟的成员只能从信任联盟的 Stub 成员中选
                 取,未加入信任联盟的 Stub 域无法加入溯源联盟;
             b.   信任联盟是建立在 IPv6 网络上,而 TIST 构建的溯源联盟是基于 IPv4 网络.为了能将 TIST 顺利迁移
                 到信任联盟,每个溯源联盟成员通过重载 IPv6 包头的逐跳扩展字段来存放 IP 流标记                           [18] ,进而建立
                 Stub 域内链路指纹;
             c.   ISP 利用信任联盟已然建立可信域间网络的特点,不再要求溯源联盟成员的边界路由器执行对等过
                 滤,进而建立域间链路指纹.

                                                 信任联盟A
                                                  溯源请求
                              溯源联盟I                                   溯源联盟I
                              Stub AS 1                               Stub AS 3
                           R          R   R                   R   R           R
                                R
                                        验证路由器              验证路由器
                      攻击者        R  溯源路由器                      溯源路由器    R       受害者
                              Fig.22   Integrate trust alliance A with traceability alliance I
                                    图 22   将信任联盟 A 与溯源联盟 I 相整合

             3)  不会降低网络吞吐量.
             虽然 TIST 使用了包标记技术来记录链路指纹,但是并未增加 IP 包头的整体长度.因此,TIST 的指纹建立过
         程不会给网络带来额外的带宽开销,也就不会影响它的网络吞吐量.
             当然,本文提出的 TIST 方法在大规模部署时也会存在以下问题.
             1)   鉴于 Stub 域在正常情况下都会选择安全可信的 Transit 域作为它的网络服务提供商,因此,TIST 假设
                 溯源分组在穿越 Transit 域的过程中不会发生包标记信息被篡改的情况.然而,真实网络可能发生 BGP
                 路由前缀劫持攻击,使得 Stub 域在无意识的状态下被迫连接一些恶意自治域,它们通过恶意篡改溯源
                 分组的标记信息来破坏 TIST 的回溯操作,降低它的溯源精度;
             2)   TIST 虽然不会影响网络吞吐量,但是会增加网络延迟.溯源路由器除了转发操作,还需建立链路指纹,
                 这会增加它的处理开销,第 3.1.2 节已对它进行了理论评估.若采用硬件升级,那么处理开销较小;若采
                 用软件实现,那么开销较大.
         4    相关工作

             由于 IP 协议的“无状态”引发了一系列网络安全管理问题,因此,IP 溯源技术一经提出就受到人们广泛关注.
         按照路径重构所需指纹分组数量,IP 溯源技术可划分为基于覆盖网协同标记的多包溯源方法和基于覆盖网协
         同记录的单包溯源方法.接下来,本节将阐述上述方法基本思想,指出缺乏激励的协同方式是阻碍溯源系统大规
         模部署的重要原因.
             1)   基于覆盖网协同标记的多包溯源方法.其基本思想是:在物理路由网络上建立由溯源路由器组成的覆
                 盖网络,各溯源路由器利用转发 IP 分组的契机,以协同方式将自身标识信息或链路标识信息写入到 IP
                 分组的标记空间中,在 DoS 攻击发生后,受害者通过搜集大量携带标记信息的指纹分组,进一步汇总
                                                                                            [6]
                                                                              [5]
                 和分析,就可还原出完整的入侵路径或入口节点.经典方法包括概率性包标记 、确定性包标记 、动
                            [7]
                 态确定包标记 等.它的优势在于可部署性强,既不需要高额的维护成本,也不要求 Transit 域参与.但
                 是,存在拓扑隐私泄漏和应用范围有限(适合追溯高速匿名行为的发送源,而无法用于网络故障诊断
                 和低速匿名行为的取证、审计)等问题;