IP溯源技术研究(2)

    DoS的防范非常困难，如果我们能够通过有效的方法追踪到攻击者，使得攻击者能够受到法律上的和道德上的约束，则拒绝服务攻击就可以大为减少。
3  链接测试法(Link Testing)
    多数的溯源技术都是从最接近受害者的路由器开始，逐步检查上行数据链，直到找到攻击流量发起源。理想情况下，这个过程可以递归执行直到找到攻击源头。这种方法只在攻击进行的过程中有效，很难在攻击结束后或者间歇性攻击的情况下追踪。
3.1 入流量调试(Input Debugging)
    许多路由器都提供入流量调试的功能。这允许管理员在一些出口点过滤特定的数据包，并决定它们来自哪个入口点。这种特性可以被用来用IP溯源。首先受害者确定自己受到了攻击，并且能够从所有的数据包中提取出攻击包标志。通过这些标志，网络管理员在上行的出口端配置合适的入流量调试，发现攻击报文来自哪个入口点，以及与该入口点相应的上行路由器。接着在上行路由器继续入流量调试过程。该过程重复执行，直到发现攻击报文的源头。
   

 入流量调试技术的最大弱点是管理负担比较重，很多工作依靠手工完成。需要网络管理人员有较高的技术水平，并能够积极地配合和交流，甚至可能需要联系多个网络服务提供商(ISP)，因此需要较高的技术和大量的时间，几乎不可能完成。
3.2  可控洪泛法(Controlled Flooding)
    该方法采用向连接发送大量报文(即洪水)来观察对攻击报文传输产生的影响。受害者需要首先掌握网络的拓扑情况，强制处于上行路由的主机或者路由器向每一个连接分别发送洪水。由于路由器的缓冲区是共享的，因此来自负载较重的连接上的报文，其被丢失的概率也相应较大。这样，通过向某个连接发送“洪水”后攻击报文减少的情况，就可以确定该连接是否传输了攻击报文。
    这种方法最大的缺点是本身就是一种DoS攻击，会对一些信任路径也进行DoS；而且要求有一个几乎覆盖整个网络的拓扑图。这种方法只对正在进行中的攻击有效。
    目前CISCO路由器的CEF(Cisco Express Forwarding)实际上就是一种链级测试，如果整个链路上都使用CISCO的路由器，并且都支持CEF，就可以追踪到源头。
4  日志记录法
    在路由器中记录下与报文相关的日志，然后再采用数据挖掘技术得到报文传输的路径。这种方法最大的优势在于它能够在攻击结束后进行追踪，没有实时性的要求。但它对网络资源的需求也是巨大的，它可能需要很大的日志量才能综合出结果，因此路由器必须有足够的处理能力和存储日志的空间。
5  ICMP溯源法
    这种方法依靠路由器自身产生的ICMP追踪消息。每个路由器都以很低的概率(例如1/20000)随机复制某个报文的内容，附加该报文下一跳的路由信息后，将其封装在ICMP控制报文中，发送到该报文的目的地址。受害主机负责收集这些特殊的ICMP报文，一旦收集到足够的信息即可重构报文的传输路径。
    由于路由器复制报文的概率很低，因此负载不会有较大的增加，该方法对网络资源的占用也很少。但是ICMP报文在某些网络中会被过滤掉，攻击者也有可能发送伪造的ICMP溯源报文，而且攻击报文掺杂在正常报文中，被复制到的概率就更低，这就降低了信息的完整性，受害机器也需要花较长的时间来收集报文，对于不完整的信息则无法准确地重构攻击报文的传输路径。
6  数据包标记(marking packets)
    该方法的思想与ICMP溯源法有类似之处，它是路由器在转发报文的过程中，以一定的概率给报文做标记，标识负责转发它的路由器信息。受害机器即可利用报文中的信息来重构它的传输路径。出于避免加重路由器处理负担的考虑，标记算法要求信息的压缩性很强，即用最少的数据代表最多的信息。