El anti-seguimiento de DDos es algo muy difícil, porque ahora los piratas informáticos inteligentes usarán muchos trampolines. La tecnología de localización de fuentes de ataque y rastreo de IP son de gran importancia en la investigación de la defensa contra ataques DDoS.
La ubicación del origen del ataque y del atacante de IP se refiere a cuando se produce un ataque DDoS o después de que se completa el ataque, la ruta del ataque se identifica en función de la información existente y se encuentra la ubicación del ataque. La dificultad de la tecnología de localización y seguimiento de la fuente de ataque DDoS es que es difícil de localizar con precisión, porque la mayoría de las direcciones de origen de los paquetes de ataque son pseudo direcciones generadas aleatoriamente. De acuerdo con la estructura de la red de ataque DDos, de acuerdo con la mejora gradual de la precisión, se puede dividir en posicionamiento para lanzar un ataque. El seguimiento de DDoS tiene dos propósitos principales:
1. Rastreando la fuente del ataque para obtener las características del paquete de ataque para filtrar el tráfico o contactar al ISP para obtener ayuda;
2. Es encontrar el origen del ataque y recolectar evidencia del ataque, para que sea posible sancionar al atacante por medios legales. Independientemente de si finalmente se puede encontrar la fuente del ataque, la tecnología de seguimiento de los ataques DDoS es muy importante para la defensa DDoS. En la actualidad, las principales tecnologías de rastreo DDoS incluyen PacketMarking, rastreo ICMP, Logging y ControlledFlooding. Estas tecnologías de seguimiento generalmente requieren el soporte de un enrutador, pero en la práctica también necesitan la ayuda de un ISP. PacketMarking es una gran clase de métodos, la idea básica es que el enrutador agrega información adicional al campo de identificación en el paquete del atacante IP para ayudar a determinar la fuente o la ruta del paquete. Dado que el campo Identificación de paquetes IP solo se usa en Internet a una tasa del 0,25%, es muy factible agregar información de enrutamiento a la mayoría de los paquetes.
Por supuesto, no es necesario procesar cada paquete, por lo que la mayoría de los métodos PacketMarking agregan información de marcado al paquete IP con una probabilidad baja. El principal problema que debe resolver el método PacketMarking es: debido a que el campo de identificación del paquete IP tiene solo 16 bits, la cantidad de información agregada es muy limitada. Si desea rastrear la dirección o ruta de origen, debe construir cuidadosamente la información agregada, lo que implica cómo el enrutador actualiza el existente. Alguna información de marcado, cómo reducir la posibilidad de que se falsifique información de marcado y cómo lidiar con la situación de los enrutadores que no admiten PacketMarking en la red.
Por ejemplo, XOR y shift se utilizan para actualizar la información de la etiqueta. ControlledFlooding es el método propuesto por Burch y Cheswick. Este método es en realidad para crear un ataque de inundación, observando el estado del enrutador para determinar la ruta del ataque. Primero, debe haber un diagrama de ruta ascendente. Cuando es atacado, el enrutador ascendente puede inundarse de acuerdo con el diagrama de ruta del enrutador de nivel superior del host víctima, porque estos paquetes de datos comparten el enrutador con los paquetes de datos iniciados por el atacante. , Aumentando así la posibilidad de pérdida de paquetes por parte del enrutador. A través de este tipo de movimiento ascendente continuo a lo largo del diagrama de ruta, es posible acercarse al origen del ataque.
La mayor desventaja de ControlledFlooding es que este método en sí mismo es un ataque de DOS, y DOS algunas rutas confiables. Además, ControlledFlooding requiere un mapa de topología que cubra casi toda la red. Burch y Cheswick también señalaron que este método es difícil de usar para rastrear ataques DDOS. Este método solo puede ser eficaz para ataques en curso. El seguimiento de ICMP se basa principalmente en los mensajes de seguimiento de ICMP generados por el propio enrutador.
Cada enrutador copia el contenido del paquete de datos en un paquete de mensajes ICMP con una probabilidad muy baja (por ejemplo: 1/20000) y contiene la información del enrutador en la dirección de origen adyacente. Cuando comienza el ataque DDoS, el host de la víctima puede utilizar estos mensajes ICMP para reconstruir la ruta del atacante. La desventaja de este método es que ICMP puede filtrarse del tráfico ordinario y los mensajes de seguimiento ICMP dependen de las funciones relacionadas del enrutador, pero es posible que algunos enrutadores no tengan dicha función.
Al mismo tiempo, ICMPTracking debe considerar los mensajes ICMPTraceback falsificados que un atacante puede enviar. El registro registra los paquetes de datos en el enrutador principal y luego utiliza la tecnología de recopilación de datos para determinar la ruta de estos paquetes de datos. Aunque este método se puede usar para rastrear los datos después del ataque, también tiene deficiencias obvias, como el requisito de registrar y procesar una gran cantidad de información. Consulte el método del atacante de IP del café Internet ROS atacado por DDOS. Método Ros 1: Haga clic derecho en la tarjeta de red con el mayor tráfico para encontrar Torch, luego haga clic en RxRate para ordenar de mayor a menor para ver qué URL tiene el mayor tráfico. Deberías encontrar Torch en herramientas. Método 2: TOOLS-TORCH y luego seleccionar WAN. Haz clic en INICIO. Es necesario señalar que si el atacante ha diseñado al atacante DDoS con suficiente cuidado, es casi imposible encontrar al atacante real. Por ejemplo, un atacante puede usar dos o más capas de máquinas de títeres para llevar a cabo un ataque, y las máquinas de títeres cercanas al atacante se limpian a fondo, de modo que la tecnología de rastreo no pueda encontrar al atacante. Además, para los ataques de reflexión (DRDOS), dado que el paquete de ataque es legal, es muy difícil rastrear la propia máquina títere.