拒绝服务攻击路由反向追踪算法综述

．链路测试

原理：链路测试的思想是，从最接近受害者的路由器开始，测试其上游所有链路，找出是哪一个链路传输了攻击的数据流，然后，更上一级路由器重复该过程，直到发现攻击源。它又分为以下两种测试方法：

1．1输入测试：

很多路由器都提供以下的特性：允许操作员在路由器的某些输出端口上，禁止一些特定的数据包，同时也可以检测出某一种类型的数据包到达了哪个输入端口，该特性可以用于路由的反向跟踪。

首先，受害者必须确定自己遭到了攻击，并从攻击数据包中提取出它们共有的一些攻击特征，然后以某种方式通知网络操作员，网络操作员针对该特征，在受害者的上一级路由器的输出端口上过滤具有该特征的数据包（这里说的过滤并不是禁止的意思 ，而是发现具有攻击特征的数据报），过滤机制同时可以揭示出这些数据包的输入端口，也就是揭示出转发攻击数据流的上一级路由器。上游路由器再重复该过程，直到找到攻击源，如果该过程进行到了ISP边界，则还需要联系上一级ISP，以完成整个跟踪过程。

问题：该方法要求很高的人工管理量。而且，在多个ISP之间协调是件费时费力的工作，同时，并不能保证所有的ISP

都会愿意合作。

1．2有控制淹没：

该方法通过将与受害者相连的每一条输入链路进行人为淹没，并观察攻击数据包通讯情况的变化来检测出攻击的来源。

受害者使用预先生成的网络拓扑，选择最接近自己的路由器的上游链路中的主机，通过与这些主机合作，对路由器的每一条输入链路分别进行强行淹没。因为路由器缓冲的共享特性，每一个在过载链路上通过的数据包，其丢失的概率都会增加，当然，这其中也包括攻击数据包。通过观察到达受害者的攻击数据包速率的变化，就可以确定攻击数据流的来源。通过一级级的使用该方法，就可以最终恢复出攻击路由。

《拒绝服务攻击路由反向追踪算法综述(第2页)》