【NDN安全】Interest Flooding Attack and Countermeasures in Named Data Networking 学习笔记

1、实施兴趣包洪泛攻击的条件:

      (1)兴趣包转发尽可能地靠近数据生产者或内容提供者;

      (2)在中间NDN路由器创建PIT条目,并存储尽可能长的时间。

      前者要求恶意兴趣包共享相同的名字前缀,后者要求每个恶意兴趣包请求唯一的内容。因此攻击者发送的兴趣包必须请求流行度不高的或者根本不存在的唯一的内容,这样攻击者可以构造可变长度的随机名字组件加在他所发送的兴趣包上。

2、缓解策略:

      (1)Token Bucket Algorithm

      该算法利用兴趣包和数据包之间的流平衡。NDN路由器记录他们转发的兴趣包可以获得的数据包的数量,并计算多少数据包可以完全利用下游链路的容量,如果链路容量达到上限,路由器将不再转发新进来的兴趣包。该转发的兴趣包的上限为:


      (2)Token Bucket with Per Interface Fairness

      该算法将每个进接口轮循,每个进接口进来的兴趣包交替排成队列,使得每个进接口接收到的兴趣包都可以被转发,实现每接口公平。

      该算法的缺陷是也允许相当大量的恶意兴趣包被转发,因而减少了合法用户的兴趣包的转发,如果到达的兴趣包数量较大,会同时丢掉合法兴趣包和恶意兴趣包。

      而良好的缓解策略应是能够检测和区分恶意兴趣包和合法兴趣包。

      (3)Timeout-based Differentiation Method

      该算法使得每个接口维持兴趣包满足率的统计,以便路由器能够预测从该接口接收到的兴趣包可以返回数据包还是会超时。

      (4)Satisfaction-based Interest Acceptance

      该算法直接使用兴趣包满足率作为概率来决定接收还是拒绝进来的兴趣包。

      该算法的缺陷是在转发路径上的每个路由器单独做出转发决定。例如,如果A路由器的进接口eth1的满足率为50%,B路由器的进接口eth0的满足率为30%,合法兴趣包从A的eth1进入,转发到B的eth0,则该兴趣包再从B转发出去的概率只有50%*30%=15%,随着兴趣包经过的跳数的增多,其被转发的概率将越来越小。

      (5)Satisfaction-based Pushback

      该算法从数据包生产者开始回推。假设与数据生产者相连的B路由器的出接口可以转发10个兴趣包,B的一个进接口的兴趣包满足率为30%,那么B的该进接口可以接收到的兴趣包只有30%*10=3个,其他丢弃。那么与B相连的A路由器的出接口可以转发的兴趣包就为3个,A的一个进接口的兴趣包满足率为50%,那么该进接口可以接收到的兴趣包个数就为50%*3=1.5个,其他丢弃。由此一路推回到合法用户,算出它可以发送的兴趣包个数。

3、Satisfaction-based Interest Acceptance和Satisfaction-based Pushback算法与其他算法的不同之处:

      (1)抑制不想要的请求包,而不是实际数据包;

      (2)区分合法兴趣包和恶意兴趣包是基于NDN的流量对称原则;

      (3)这两种算法都可以被长期部署,而不影响网络性能,即使在没有攻击者的情况下。

4、模拟实验运行在两种拓扑下:小的二叉树拓扑和大的类似ISP网络的拓扑。

      我们改变网络中攻击者数量的百分比,从6%到50%,我们设置模拟拓扑中每个节点的延迟和数据包大小参数为一个固定值。小规模二叉树拓扑中,我们设置延迟为80ms,大规模ISP拓扑中,我们设置延迟为330ms,数据包大小为1100字节。

      (1)二叉树小规模拓扑:拓扑中共有16个端用户,包括合法用户和攻击者,它们放在二叉树的叶子节点上。端用户向唯一的数据生产者发送兴趣包,数据生产者放在树根上。拓扑中的每条链路分配10Mbps的带宽,时延为随机传播时延,范围1到10ms。7个端节点代表攻击者,其余9个端结点代表合法用户。模拟时间30min,攻击开始于10min,攻击执行时间10min。

      (2)类似ISP的大规模拓扑:拓扑中包含562个节点,并将这562个节点分成3类:客户节点、网关节点和骨干节点。度小于4的节点为客户节点(图中344个红色节点),直接连接到客户的节点是网关节点(109个绿色节点),剩余节点是骨干节点(109个蓝色节点)。我们固定恶意节点的数量为接近40%(344个客户节点中有140个恶意节点)。


已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页