DDoS攻擊追溯

目前現行的 DDoS 攻擊追溯，大致來說有以下幾種，我們就針對這 幾種方式，作一簡單的描述[8,10,18,22,28,37]。

(一)、Link Testing

這一類的方法，主要是由最接近受害端的 Router 開始，使用統計及 樣本分析，偵測所連接的連結裡，哪一個連結帶有大量的攻擊流量，經 由這樣持續不斷的判斷監測，追溯到最上層的攻擊來源主機。這類的方 法必需考慮到網路管理者間的協調問題，同時也必需懂得將攻擊封包與 合法封包區分開來。這種方法主要有兩種實現：

1. Input Debugging

當 Router 管理者發現網路中帶有攻擊特徵的封包時，就會判斷 封包是由哪一連結進入，並告知上游管理此區域的 ISP，藉由如此 不斷的重複的往上尋找直到攻擊的來源被找到。這個方式必須在遭 受攻擊時才能使用。

2. Controlled Flooding

這一種技術原理主要是從受害端主機產生大量的網路流量到上 游的網路區段中，重覆的往最靠近受害端主機的每個連結送出，並 觀察路由器的狀態來判斷攻擊路徑。由於攻擊端與受害端同時共用 了路由器，將使得路由器丟棄封包的機率大大的增加而藉此判斷攻 擊路徑。

圖 2-2 利用 Linking Testing 進行追溯 (二)、Logging

在封包送往目標的網段上，把關鍵的路由器上所經過的封包記錄起 來，並使用data mining的技術從中萃取出有關攻擊者攻擊來源的資訊。

但是這個方法卻有一個缺點，就是以現今網路的速度而言，勢必要佔用 掉大量的儲存空間[33]。

後來也有人提出一個名為SPIE的改進的方法，就是只儲存相關聯有

意義的封包部份之雜湊，而不是全部封包，並記錄在一個有效率的記憶 結構Blood Filter裡，藉此降低所要儲存封包的空間需求[9]。

圖 2-3 利用 Logging 進行追溯

(三)、ICMP-based Traceback

這個方法是由IETF所提出，稱為iTrace，主要是當封包通過時，Router 會有很低的機率(如 1/200000)產生一個ICMP封包給受害端，裡面包含一 些封包的來源、發送時間、認證等資訊。而DDoS所產生的大量封包將 可使得Router 發送出許多封包，這可使的網路管理者利用這些所接收到 的封包拼湊出攻擊者的路徑[10]。

此方法的缺失就是比較擁擠的路由器可能送出較多的追蹤封包，而 比較少封包通過的路由器可能就發出比較少的追蹤封包。雖然 DDoS 的 攻擊路徑將會產生大量的封包通過，但不能肯定比較少封包通過的路由 器在封包增加後能大於那些本來就很擁擠的路由器。而且當攻擊者利用

大量的發送端發送封包時，如果每個發送端都只是總流量的一小部份 時，在這樣的情況下，受害端將會收到許多較接近的 Router 的 ICMP 封 包，而較靠近發送端的 ICMP 封包則會少很多。

圖 2-4 iTrace 追溯

(四)、Packet Marking

Packet marking 主要就是在個別的封包經過 router 時，router 會有一 定的機率在封包的表頭前加入有關 router 的資訊，而由於 DDoS 產生 的大量封包，將使得受害端那邊有足夠的資訊可以重新建構出攻擊的路 徑。值得注意的是，為了要有效率，Packet Marking 應盡可能的不要增 加 packet 的大小，這是為了避免封包遭受切割而增加了多餘的網路流 量[12,18,27,32,34,37]。

圖 2-5 利用 Packet Marking 進行追溯