深入了解DDoS与DDoS追踪

深入了解DDoS与DDoS追踪(2) 　　ICMP追踪

　　这种方法主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都有很低的概率（比如：1/200000），数据包可能会把内容复制到一个ICMP消息包中，并且包含了到临近源地址的路由器信息。当flood攻击开始的时候，victim就可以利用这些ICMP消息来重新构造攻击者的路径。这种方式同上面介绍的比较，有很多优点，但是也有一些缺点。比如：ICMP可能被从普通流量中过滤掉，并且，ICMP追踪消息还要同input debugging特性（将数据包同数据包input端口和/或者要到达的MAC地址关联的能力）相关，但是，可能一些路由器就没有这样的功能。同时，这种办法还必须有一种办法来处理攻击者可能发送的伪造ICMP Traceback消息。也就是说，我们可以把这种方式同其他办法一起使用来让跟踪机制更有效。(IETF iTrace)

　　这就是yawl说的IETF的工作组研究的内容，当时我给Bellovin提出一些意见，但是没有得到答案。比如：

　　1、尽管是随机1/20000发送追踪包，但是，对于伪造TRACEBACK的包情况下，对路由器的效率将有一定的影响。

　　2、追踪包的认证并不能解决伪造问题。因为要判别是否是伪造包，那么必须去认证，加大了工作量。

　　3、即便使用NULL 认证，同样能够达到目的（有认证的情况下）。而且也不会有太大影响。

　　4、Itrace的本来目的是去对付DOS的欺骗源问题，但是现在的设计仿佛让我们更关心的是路径而不是源头。难道路径比源头更对我们解决DOS问题有用么？

　　等等，还有一堆问题，都是我觉得iTrace将会面临的很难处理的问题。

　　数据包标记

　　这种技术构想（因为现在没有实用）就是要在现有协议的基础上进行修改，而且修改很小，不象iTrace的想法，个人认为比iTrace更好一些。

　　这种追踪技术有很多细节研究，形成多种标记算法，但是最好的还是经过压缩的边缘取样算法。

　　这种技术原理就是修改IP头中，重载其中的identification域。也就是如果没有使用到identification域的话，将这个域定义为标记。

　　将16bit的idnetification分成：3bit的offset（可允许8次分片）,5bit的distance，以及8bit的边缘分片。5bit的distance可以允许31级路由，这对于目前的网络来说已经足够了。

　　标记和重构路径的算法是：

Marking procedure at router R: let R' = BitIntereave(R, Hash(R)) let k be the number of  
none-overlappling fragments in R' for  
each packet w let x be a random number from [0..1) if xlet o be a random integer from  
[0..k-1] let f be the fragment of R' at  
offset o write f into w.frag write 0 into w.distance wirte o into w.offset else if  
w.distance=0 then let f be the fragment of  
R' at offset w.offset write f?w.frag into w.frag increment w.distance Path reconstrUCtion  
procedure at victim v: let FragTbl  
be a table of tuples(frag,offset,distance) let G be a tree with root v let edges in G be  
tuples(start,end,distance) let  
maxd:=0 let last:=v for each packet w from attacker FragTbl.Insert 
(w.frag,w.offset,w.distance) if w.distance>maxd then  
maxd:=w.distance for d:=0 to maxd for all ordered combinations of fragments at distance d  
construct edge z if d!=0 then z:=  
z?last if Hash(EvenBits(z))=OddBits(z) then insert edge(z,EvenBits(z),d) into G  
last:=EvenBits(z); remove any edge(x,y,d)  
with d!=distance from x to v in G extract path(Ri..Rj) by enumerating acyclic paths in G