IP追踪技术的关键需求包括:
与现有网络协议的兼容;
与现有的路由器和网络结构兼容;
网络业务开销可以忽略;
支持新增的设备和主机;
对付DDoS攻击的有效性;
在时间和资源方面的最小开销;
不需要与ISP合作;
追踪的成功概率不取决于攻击的持续时间。
下面介绍一下IP追踪技术方法:
链路测试法是通过测试路由器之间的网络链路来确定攻击源头。从最接近受害主机的路由器开始,测试它的上行链路以确定携带攻击数据包的路由器。
如果检测到了有地址欺骗的数据包(通过比较数据包的源IP地址和它的路由表信息),那么它就会登录到上一级路由器,并继续监视数据包。如果仍然检测到有地址欺骗的扩散攻击,就会登录到再上一级路由器上再次监视地址欺骗的数据包。重复执行这一过程,直到到达实际的攻击源。链路测试是反应追踪方法,要求攻击在完成追踪之前都一直存在。
输入调试和受控淹没是链路测试中的两种实现方法。大多数路由器能够确定特定数据包的输入网络链路。如果路由器操作人员知道攻击特征,那就有可能在路由器上确定输入网络链路。然后,ISP必须对连接到网络链路的上游路由器执行相同的处理过程,依次类推直到找到攻击源、或者直到踪迹离开了当前ISP的界线。
在后一种情况中,管理员必须联系上游ISP继续追踪过程。这个技术的最大缺点是ISP之间的通信和协作上的巨大管理开销,它在受害主机和ISP方面都需要时间和人力。这些问题在DDoS攻击中变得更加复杂,因为攻击可以来自属于许多不同ISP的计算机。
受控淹没技术是从受害网络向上游网络段产生一个突发网络流量,并且观察这个故意产生的流量涌塞是如何影响攻击强度的。受害主机使用周围已知的Internet拓扑结构图,选择最接近自己的那个路由器的上游链路中的主机,对这个路由器的每个输入网络链路分别进行强行淹没。
由于这些数据包同攻击者发起的数据包同时共享了路由器,因此增加了路由器丢包的可能性。受控淹没的最大问题是技术本身是一类DoS攻击,可能会对上一级路由器和网络上的合法业务产生较大的影响。
同时也要知道ip地址风险性,ip数据云可查询宿主信息,从源头避免不必要的攻击,企业可以先测试一下,您是否也受到了DoS攻击。