57、网络安全：IP回溯与蠕虫检测技术解析

网络安全：IP回溯与蠕虫检测技术解析

1. IP回溯技术

IP回溯是网络安全中的重要环节，旨在追踪攻击数据包的来源。常见的IP回溯方法有边缘采样和日志记录两种。

1.1 边缘采样

边缘采样通过对路径边缘进行采样而非节点采样，实现了基于边缘距离的简单顺序重建。当路由器R接收到带有三元组 (X, Y, h) 的数据包时，会生成一个0到1之间的随机数：
- 若随机数小于采样概率p，路由器R将自身ID写入标记三元组，重写为 (R, −, 0)，其中“−”表示路径中的下一个路由器尚未确定。
- 若随机数大于p，R必须保持先前写入标记的完整性。
- 若h = 0，R将自身写入第二个字段，因为R是标记写入者之后的下一个路由器。
- 若随机数大于p，R会增加h的值。

假设每条边缘都被采样一次，受害者就可以重建路径。攻击者只能在路径开头添加虚构节点。当采样概率p约为1/L（L为到最远路由器的路径长度）时，最远路由器发送的边缘标记存活的概率为p(1 − p)L−1 ≈ p/(1 − p)e。例如，当p = 1/25时，该概率约为1/70，相比之前的尝试有较大提升。若选择p = 1/50，即使路径长度小很多，该概率也不会大幅减小，这使得用数百个数据包而非数千个数据包就能轻松重建路径。

此外，通过仅存储两个字段的异或值在一个字段中，可以消除明显的浪费并避免使用两个节点ID。从受害者已知的最后一个路由器ID反向工作，与前一个边缘标记进行异或运算，即可得到路径中的下一个路由器。将每个节点视为由多个“伪节点”组成，每个伪节点包含节点ID的一小部分（如8位），可以将标记长度减少到约16位。

1.2 日志记录