IP反向追踪技术综述

合集下载

网络攻击溯源技术

网络攻击溯源技术随着互联网的迅猛发展，网络攻击已经成为我们日常生活中无法回避的问题。

网络黑客和攻击者时常利用各种技术手段入侵他人的计算机系统，窃取个人隐私信息，造成了巨大的损失。

为了解决这个问题，网络攻击溯源技术应运而生。

网络攻击溯源技术是一种通过追踪和分析网络攻击过程的方法，旨在确定攻击源的位置和身份，为进一步采取防御措施提供依据。

下面将详细介绍几种常见的网络攻击溯源技术。

一、IP地址追踪技术IP地址是互联网中用于标识计算机和设备的一串数字。

通过追踪攻击来源的IP地址，可以大致确定攻击者的物理位置和所用的网络服务提供商。

这种技术常常被用于查询攻击者的地理位置，并可以将信息提供给执法机构进行进一步调查。

二、域名溯源技术域名溯源技术是通过对攻击中的恶意域名进行追踪和分析，以确定攻击者的身份。

恶意域名通常会被用于发起网络钓鱼、恶意软件传播等活动中。

通过追踪域名的注册者和使用者的信息，可以帮助警方追踪并定位攻击者。

三、数据包分析技术数据包分析技术是通过对网络流量进行深入的数据包分析，以确定攻击发起者的IP地址、攻击方式和攻击工具等信息。

这种技术可以通过分析网络协议、端口和数据包的特征，对网络攻击进行溯源和定位，进而制定相应的防护措施。

四、黑客行为追踪技术黑客行为追踪技术是通过模拟黑客攻击行为，以便跟踪分析和了解攻击者的行动逻辑和攻击方式。

通过模拟攻击行为，可以发现攻击者的蛛丝马迹，并预测其下一步的攻击目标。

这种技术对于提前预防和减轻网络攻击的损失非常重要。

网络攻击溯源技术的发展给网络安全领域带来了重要的突破和进步。

通过追踪攻击源头，我们可以更好地了解攻击者的手法和动机，加强网络安全防护措施，提高网络安全性。

无论怎样，保护个人隐私和网络安全都是我们每个人的责任。

在使用互联网时，我们应该时刻保持警惕，加强个人防范意识，主动了解网络攻击溯源技术，并积极采取防御措施。

只有全社会共同努力，才能构筑起一个安全可靠的网络环境。

网络安全IPDR

网络安全IPDR网络安全IPDR（IPDR：Intelligent Packet Detection and Remediation）是一种先进的网络安全方案，它结合了智能数据包检测和应对措施，以保护网络不受恶意攻击的伤害。

在当今网络世界中，恶意攻击的风险越来越高。

黑客们通过各种方式入侵网络，盗取个人信息，破坏数据，甚至勒索钱财。

为了应对这些威胁，网络安全技术不断发展，而IPDR正是其中的重要一环。

IPDR主要通过智能数据包检测来实现网络安全。

它使用先进的算法和机器学习技术来分析网络流量，检测出异常的数据包。

它可以识别出与正常通信模式不符的数据包，比如大量的重复请求、异常的数据包大小或协议不匹配等。

IPDR还可以分析数据包的来源和目标，以找出潜在的攻击者。

当IPDR检测到异常的数据包时，它会立即采取相应的措施进行应对。

这些措施可以包括阻止来自特定IP地址的数据包、禁止特定协议的传输，或者通知网络管理员进行更深入的调查。

这些应对措施是动态的，可以根据实际情况进行调整和改进。

IPDR的优势在于其高度智能化和实时性。

它可以不断地学习和适应新的安全威胁，从而提高网络的防御能力。

与传统的基于规则或签名的防火墙相比，IPDR更加灵活和高效。

它可以精确地识别出反常行为，并迅速采取措施进行阻止，从而保护网络免受攻击。

然而，IPDR也存在一些挑战。

首先，它的实施需要大量的计算和存储资源，以处理海量的网络流量数据。

其次，IPDR可能误报正常的通信行为，从而给网络用户带来不必要的麻烦。

最后，IPDR只能检测和应对已知模式的攻击，对于新型的未知攻击可能无法有效防范。

综上所述，网络安全IPDR是一种先进的网络安全方案，它通过智能数据包检测和应对措施，提供了更强大的网络防御能力。

然而，它也面临一些挑战，需要持续改进和升级。

随着网络威胁的不断演变，我们相信IPDR在未来会发挥更重要的作用，为网络安全提供更好的保障。

网络追踪技术简介

网络追踪技术简介网络追踪技术是当今数字时代中一项具有重要意义的技术，它的出现和发展为我们解决各种问题提供了新的途径。

网络追踪技术是通过收集和分析数字数据，可以确定并追踪互联网上的用户活动和信息流动。

本文将介绍网络追踪技术的基本原理、应用场景和未来发展趋势。

一、基本原理网络追踪技术的基本原理是通过识别和分析互联网上的数字足迹，从而确定特定用户或信息的来源和流向。

这项技术主要依赖于用户在互联网上留下的痕迹，包括IP地址、浏览历史、搜索记录等，通过分析这些数据可以追踪到用户的活动和信息传递的路径。

例如，当我们在搜索引擎上输入一个关键词进行搜索时，搜索引擎会记录下我们的搜索内容以及我们的IP地址。

基于这些信息，搜索引擎可以对我们的搜索行为进行分析，推荐相关广告或搜索结果。

这表明网络追踪技术可以帮助广告商和企业针对用户的需求做出更准确的推测。

二、应用场景网络追踪技术的应用场景非常广泛。

其中之一是网络安全领域。

通过追踪互联网上的数字足迹，网络安全专家可以发现并预防潜在的网络攻击。

他们可以通过分析网络流量数据，识别异常行为，并迅速采取措施加以阻止。

此外，网络追踪技术还可以在犯罪侦查中发挥重要作用。

警方可以利用此技术追踪犯罪嫌疑人的活动轨迹、身份信息和互联网上的交流内容。

这对于打击网络犯罪以及保护公众安全具有重要意义。

另一个重要的应用场景是市场调研。

企业可以通过追踪用户在互联网上的行为和兴趣，了解他们的购买习惯和需求，从而制定更有效的市场营销策略。

例如，一家电商公司可以根据用户的历史购买记录和浏览行为推荐相似产品，提升用户体验和销售额。

三、未来发展趋势随着科技的不断进步，网络追踪技术也在不断发展和完善。

未来，我们可以预见几个方面的发展趋势。

首先，用户隐私保护将成为网络追踪技术发展的重要方向。

随着社会对个人隐私的重视，法律和监管机构正在出台相关政策，要求企业对用户数据更加严格地保护。

网络追踪技术在应用中需要考虑用户隐私问题，以确保用户数据的安全性和合法性。

反向域名解析详细分析

反向域名解析详细分析在互联网中，域名解析是实现网站访问的重要过程。

正向域名解析将域名转换为IP地址，而反向域名解析则将IP地址转换为对应的域名。

本文将对反向域名解析进行详细的分析，包括其原理、应用以及相关技术。

一、反向域名解析的原理反向域名解析是通过将IP地址转换为域名来实现的。

在实际操作中，当用户访问一个网站时，计算机首先需要根据域名找到对应的IP地址，然后才能与服务器建立连接并请求网页。

而反向域名解析则是通过这个过程的逆向操作，即通过IP地址找到其对应的域名。

为了实现反向域名解析，互联网使用了专门的反向域名解析服务器（Reverse DNS Lookup Server）。

这些服务器存储了IP地址与域名之间的映射关系，当进行反向解析时，计算机会向这些服务器发送特定的查询请求，然后服务器返回与该IP地址对应的域名信息。

二、反向域名解析的应用领域1. 网络安全反向域名解析在网络安全领域有着重要的应用。

通过反向解析IP地址，网络管理员可以追踪恶意活动的真实来源。

当网络出现攻击或滥发垃圾邮件等问题时，可以通过反向域名解析来确定罪犯的身份以及他们所使用的域名。

2. 邮件服务器设置反向域名解析还用于电子邮件系统中。

为了防止垃圾邮件和欺诈行为，许多邮件服务器会对发件人域名进行反向解析并进行验证。

如果发件人的IP地址无法解析出有效的域名，邮件很可能会被标记为垃圾邮件或直接被拒绝发送。

3. 网站分析通过反向域名解析，网站所有者可以分析访问者的来源。

这些信息对于了解网站流量、用户地理位置等具有重要意义，有助于网站优化和市场推广。

三、反向域名解析的相关技术1. 反向域名指针（PTR记录）在DNS中，反向域名解析使用了一种特殊的记录类型，即PTR记录（Pointer Record）。

PTR记录把IP地址映射到其对应的域名上。

进行反向解析时，系统会查询与该IP地址相关联的PTR记录，获取对应域名的信息。

2. 反向域名解析检查工具为了方便用户进行反向域名解析的检查，有许多在线工具和软件可供选择。

了解网络追踪的基本原理(三)

网络追踪是指通过网络技术手段，追踪某个特定的网络活动、数据或身份的过程。

它是网络安全领域中非常重要的一环，因为通过网络追踪，我们可以追踪犯罪分子、保护个人隐私、维护网络安全等。

在这篇文章中，我们将介绍网络追踪的基本原理，并探讨其在现代社会中的重要性。

首先，网络追踪的一个重要原理是IP地址追踪。

IP地址是互联网上每台计算机或设备的唯一标识符。

通过IP地址，我们可以追踪数据传输的路径，了解发送者和接收者之间的关系。

IP地址追踪的过程可以简单地分为三个步骤：获取目标IP地址、追踪数据包传输路径、定位IP地址所在地。

其次，域名系统（DNS）也是网络追踪的一个重要方面。

DNS是一个将域名转换为IP地址的系统，它作为互联网的“电话簿”，将易于记忆的域名与IP地址相对应。

通过分析DNS记录，我们可以了解到访问某个特定域名的用户的信息。

例如，当我们访问一个网站时，通过分析DNS记录，我们可以知道该网站的服务器IP地址以及该服务器所在的地理位置。

此外，网络追踪还涉及到网络包分析。

网络包是在网络中传输的数据单元，它包含了发送者和接收者之间的所有交流信息。

通过分析网络包，我们可以了解到数据的传输路径、数据的内容以及相关用户的信息。

这对于调查犯罪行为、网络攻击等具有重要意义。

此外，随着技术的发展，深度包检测（DPI）也成为网络追踪的一种重要工具。

DPI是一种分析网络包内容的技术，它可以识别特定的数据类型、应用程序和协议。

通过DPI，我们可以追踪特定应用程序或交流协议的数据传输情况，有助于了解网络行为和保护网络安全。

从整个网络追踪的过程来看，我们可以发现它在当前社会中的重要性。

首先，网络追踪可以帮助我们追踪犯罪行为。

无论是网络攻击、网上欺诈、色情内容还是恶意程序传播，通过网络追踪，我们可以追踪犯罪分子，并采取相应的措施。

其次，网络追踪对于保护个人隐私也非常重要。

在互联网时代，个人数据的泄露和滥用问题日益凸显。

通过网络追踪，我们可以追踪个人数据的流向和使用方式，确保个人隐私得到充分保护。

IP追踪中的包标记技术综述

地址又是可伪造的，照这个地址找到的多数不是按
真正的攻击者。
ＩＰ追踪技术提出的初衷就是要想办法追踪到数据包的源发地址。如果ＩＰ追踪技术成熟的话，那
么它的用途除了追踪和抑制ＤＳ攻击外，可在Ｄｏ也
李大伟
（国人民银行兰州中心支行科技处，肃兰州７００）中甘３００
摘
要：绝服务攻击（Ｓ和分布式拒绝服务攻击（ＤＳ一直是网络上使用频率最高的攻击方拒ＤＯ）Ｄｏ）
式。为了能够找到网络攻击的发起源以便对攻击发起人提出法律和经济上的惩罚，为了威慑那也
些试图进行网络攻击的人，们开始研究Ｉ人Ｐ追踪技术。本文系统介绍了当前各种ＩＰ追踪中的包
标记技术的研究成果，对其在性能和效率上做了横向的比较，并对该技术的发展趋势做了简单的分
析。
包标记技术是前摄追踪技术。攻击路径信息记
无法进行；后者通过记录包信息以便被攻击者在攻
击结束后重建攻击路径和确定攻击者身份。按是否有附加的网络带宽占用，为带内（ — ｂｎ）带分ｉｎａｄ和外（ｕ —ｏ—ｂｎ）ｏｔｆａｄ技术。按路径信息存贮的地点，分为基础设施（ｎｒｓｒｃｕｅ和终端节点（ｎ — ｉｆａｔｕｔｒ）ｅｄ

如何通过网络IP地址进行跨国追踪

如何通过网络IP地址进行跨国追踪通过网络IP地址进行跨国追踪网络IP地址是Internet Protocol Address的缩写，用于标识和定位设备在网络上的位置。

在跨国追踪的过程中，通过分析和追踪目标IP地址，可以追溯到该地址所属的国家或地区。

本文将介绍如何通过网络IP地址进行跨国追踪的基本原理和方法。

一、IP地址的基本知识IP地址是互联网上任何一个连接到网络的设备（如计算机、服务器等）被分配的唯一标识符。

它分为IPv4和IPv6两种格式。

1. IPv4地址IPv4地址是目前网络上广泛使用的一种IP地址格式。

它由32位二进制数字组成，通常以四个由点分隔的十进制数表示（如192.168.0.1）。

其中，每个十进制数的取值范围是0到255。

2. IPv6地址IPv6地址是为了应对IPv4地址紧缺问题而推出的一种新的IP地址格式。

它由128位二进制数字组成，通常以八组由冒号分隔的十六进制数表示（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）。

二、利用IP地址定位目标国家通过分析目标IP地址的前几段，我们可以判断出该地址所属的国家或地区。

这个过程称为IP地址的定位。

具体方法如下：1. IP地址归属查询通过使用在线的IP地址查询工具，如"ipapi"、"IP2Location"等，输入目标IP地址即可获得其所属国家或地区的信息。

这些工具通常会根据IP地址段的分配情况，提供准确的归属地信息。

2. Whois查询Whois数据库是存储了全球IP地址分配情况和注册管理信息的公共数据库。

通过访问Whois查询网站，如"ARIN"、"RIPE NCC"等，输入目标IP地址，可以获取到该IP地址的注册信息，包括所属组织、联系方式等。

通过分析这些信息，可以初步了解该IP地址所属国家或地区。

三、追踪跨国IP地址的操作步骤在跨国追踪目标IP地址的过程中，可以采取以下步骤来获取更详细的信息：1. Traceroute命令Traceroute命令用于确定数据包从源设备到目标设备的路径。

IP地址的解析与反解析技术

IP地址的解析与反解析技术IP地址是互联网中用于标识和定位设备的一种数字地址。

在网络通信中，从IP地址中解析出相关的信息对于网络管理和安全监控具有重要意义。

同时，反解析技术可以将IP地址转换为域名，从而更便于人们理解和记忆。

本文将介绍IP地址的解析与反解析技术，并探讨其在网络管理和安全领域中的应用。

一、IP地址解析技术IP地址解析是将IP地址转换为可读性较强的信息，常见的解析包括地理位置解析和运营商解析。

1. 地理位置解析地理位置解析是通过解析IP地址，获取其所在的地理位置信息，包括国家、省份、城市等。

常用的地理位置解析服务提供商如MaxMind和GeoIP等，它们通过构建地理位置数据库，并与IP地址进行匹配，实现地理位置解析功能。

地理位置解析技术在网络管理中广泛应用。

通过对IP地址进行解析，网络管理人员能够实时了解不同地域的网络状况，从而优化网络资源分配，提升网络性能和用户体验。

2. 运营商解析运营商解析是通过解析IP地址，获取其所属的运营商信息。

通过运营商解析，能够判断用户所属的网络运营商，从而针对不同运营商的用户提供差异化的服务。

运营商解析技术在网络应用开发中具有重要意义。

例如，当用户访问一个网站时，通过运营商解析可以判断用户的运营商信息，从而向其推送与运营商相关的服务和优惠活动。

二、IP地址反解析技术IP地址反解析是将IP地址转换为域名，更便于人们理解和记忆。

反解析主要通过域名系统（DNS）实现。

DNS是互联网中用于将域名转换为IP地址的系统。

在进行IP地址反解析时，可以通过DNS查询获取与IP地址对应的域名信息。

域名信息的获取可以通过工具如nslookup或在线的反解析服务来实现。

通过IP地址反解析技术，人们可以从一个IP地址追踪到对应的域名，这在网络安全和监控中起到重要作用。

例如，在网络攻击事件中，通过反解析可以追踪到攻击者所使用的域名，有助于进一步的安全防范和追踪。

三、IP地址解析与反解析的应用IP地址解析与反解析技术在网络管理和安全领域中有广泛应用，下面分别介绍两个具体应用案例。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

IP反向追踪技术综述摘要拒绝服务攻击(DoS)给政府部门和商业机构造成了严重的经济损失和社会威胁。

IP追踪技术能够反向追踪IP数据包到它们的源头，所以是识别和阻止DoS攻击的重要一步。

本文针对DoS攻击，对比分析了各个IP反向追踪方法的基本原理和优缺点。

关键词DoS攻击主动追踪反应追踪随着Internet在商业活动中的重要性不断增长，网络攻击特别是拒绝服务(DoS)攻击也在不断增加。

IP追踪技术能够使受害主机的网络管理员识别发起DoS攻击的大量数据包的真正源头，对于尽快恢复正常的网络功能、阻止再次发生攻击以及最终让攻击者为此负责非常重要。

仅仅识别产生攻击业务的计算机和网络似乎是一个有限目标，但是它所提供的重要线索有助于识别实际的攻击者。

本文针对DoS，对比分析了现有各个IP反向追踪技术的基本原理、优缺点和局限性。

一、DoS 攻击DoS攻击一般都默认地使用IP欺骗方式实施攻击，使网络服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止为合法用户提供正常的网络服务。

大部分DDoS攻击都是间接地通过其他主机系统攻击它们的目标。

一旦攻击者知道无辜用户的账号，他就能伪装成那个人实施犯罪。

攻击者还可以通过获得管理特权，在任何一台计算机上创建新账号。

攻击者利用窃取来的账号清洗攻击数据包：被窃取账号的主机（以下称清洗主机）接收和处理攻击主机的数据包，然后再将数据包发送给受害主机。

因此，攻击者就利用清洗主机伪装了它们的身份。

在DDoS 攻击中，为了提高攻击的成功率，攻击者会同时控制成百上千台清洗主机，每台清洗主机根据攻击命令向目标主机发送大量的DoS 数据包，使目标主机瘫痪。

必须采取相应的措施来阻止或者减轻DoS/DDoS攻击，并对攻击做出反应。

阻止或者减轻攻击效果的方法称为预防性措施，包括优化软件参数、输入过滤和速率限制。

而要对攻击做出反应，则必须采用各种IP反向追踪技术：不仅能识别攻击主机的真正IP地址，而且还可以获得产生攻击的机构信息，例如它的名称和网络管理员的E-mail地址等。

二、IP追踪方法根据IP追踪的主动程度，可以将现有的IP追踪技术分为两大类：主动追踪和反应追踪。

主动追踪技术为了追踪IP源地址，需要在传输数据包时准备一些信息，并利用这些信息识别攻击源。

主动追踪方法在数据包通过网络时记录追踪信息，受害主机可以使用产生的追踪数据重建攻击路径，并最终识别攻击者。

主动追踪包括数据包记录、消息传递和数据包标记。

而反应追踪却是在检测到攻击之后，才开始利用各种技术从攻击目标反向追踪到攻击的发起点。

必须在攻击还在实施时完成它们，否则，一旦攻击停止，反应追踪技术就会无效。

输入调试和可控涌塞属于反应追踪措施。

大部分反应追踪需要很大程度的ISP 合作，这样会造成大量的管理负担以及困难的法律和政策问题，因此有效的IP追踪方法应该需要最少的或者根本不需要ISP合作。

IP追踪技术的关键需求包括：与现有网络协议的兼容；网络业务开销可以忽略；支持新增的实现；与现有的路由器和网络结构兼容；对付DDoS 攻击的有效性；在时间和资源方面的最小开销；应该不需要ISP合作；追踪的成功不应该取决于攻击的持续时间。

1、链路测试顾名思义，链路测试（有时也称为逐段追踪）法通过测试路由器之间的网络链路来确定攻击业务源头。

大部分技术从最接近受害主机的路由器开始，测试它的输入（上行）链路以确定携带业务的路由器。

如果检测到了有电子欺骗的数据包（通过比较数据包的源IP地址和它的路由表信息），那么它就会登录到上一级路由器，并继续监控数据包。

如果仍然检测到有电子欺骗的扩散攻击，就会登录到再上一级路由器上再次检测电子欺骗的数据包。

重复执行这一过程，直到到达实际的攻击源。

链路测试是反应追踪方法，要求攻击在完成追踪之前都一直存在。

输入调试和受控淹没是链路测试方法的两种实现方法。

许多路由器都存在这种特性：管理员能够确定特定数据包的输入网络链路。

如果路由器操作人员知道攻击业务的特定特性（称为攻击特征），那就有可能在路由器上确定输入网络链路。

然后，ISP必须对连接到网络链路的上游路由器执行相同的处理过程，依次类推直到找到业务源、或者直到踪迹离开了当前ISP的界线。

在后一种情况中，管理员必须联系上游ISP继续追踪过程。

这个技术的最大缺点是多个网络边界和ISP之间的通信和协作努力上的巨大管理开销，它在受害主机和ISP方面都需要时间和人力。

这些问题在DDoS 攻击中变得更加复杂，因为攻击业务可以来自属于许多不同ISP的计算机。

表1说明了输入调试的优缺点。

受控淹没技术是从受害网络向上游网络段产生一个网络业务突发，并且观察这个故意产生的业务涌塞是如何影响攻击业务强度的。

受害主机使用周围已知的Internet拓扑结构图，选择最接近自己的那个路由器的上游链路中的主机，对这个路由器的每个输入网络链路分别进行强行淹没。

由于这些数据包同攻击者发起的数据包同时共享了路由器，因此增加了路由器丢包的可能性。

受控淹没的最大问题是技术本身是一类DoS 攻击，这可能会破坏信任的上游路由器和网络上的有效业务。

当然，这不适合Internet上的普遍常规应用。

表2说明了受控淹没的优缺点。

2、数据包记录确定侵犯Internet业务的真正起源的显而易见的方法是在通过Internet的关键路由器上记录数据包，然后使用数据钻取技术提取有关攻击业务源的信息。

尽管这个解决方法似乎很显然，并且可以对攻击业务做出准确分析（即使在攻击已经停止之后），但是它的最大缺点是保存记录所需要的大量处理和存储能力，且保存和在ISP之间共享这个信息的需求还存在法律及保密问题。

Alex Snoeren等提出了一个新的数据包记录和IP追踪方法，称为SPIE(Source Path Isolation Engine)。

他们不是存储整个数据包，而是只在称为Bloom Filter的有效存储结构中存储它的相应固定部分的Hash 摘要。

为了完成IP追踪请求，数据搜集网络和遍布不同网络的分析代理可以使用这个方法提取重要的数据包数据，并且产生合适的攻击图，从而识别攻击业务的源头。

当前基于数据包记录的追踪方法使用滑动时间窗来存储记录的数据，从而避免了在攻击正在进行时或者攻击发生后不久捕获攻击时需要过多的存储和分析需求(因此，所需的记录数据仍然可以使用)。

表3 说明了数据包记录的优缺点。

3、消息传递2000年7月，Internet工程任务组(IETF)成立了一个工作组来开发基于iTrace方法的ICMP 追踪消息。

这个方法利用加载了跟踪机制的路由器（称为iTrace 路由器）以很低的概率发送一种特殊定义的ICMP数据包。

这个数据包包含局部路径信息：发送它的路由器的IP地址、前一跳和后一跳路由器的IP地址以及它的身份验证信息。

可以通过查找相应的ICMP追踪消息，并检查它的源IP地址，来识别经过的路由器。

但是, 由于为每个分组创建一个ICMP追踪消息增加了网络业务，所以每个路由器以1/20,000的概率为要经过它传输的分组创建ICMP追踪消息。

如果攻击者发送了许多分组(例如，在扩散类型的攻击中)，那么目标网络就可以收集足够的ICMP追踪消息来识别它的攻击路径。

该算法的缺陷在于产生ICMP 追踪消息数据包的概率不能太高，否则带宽耗用太高，所以该算法在攻击数据包数量很多时才比较有效。

iTrace机制的缺点在DDoS攻击中变得更加明显。

在这类情况下，选择攻击数据包的可能性比使用的抽样速率小得多。

受害主机可能会从最近的路由器获得许多ICMP追踪消息，但是很少是由接近僵尸主机的路由器产生的。

为了克服这个缺点，研究人员对iTrace提出了一种改进方法，称为Intension驱动的ICMP 追踪。

这个技术分开了判决模块和iTrace产生模块之间的消息传递功能。

接收网络为路由表提供了特定的信息以指出它需要ICMP追踪消息。

在路由表中提供的特定信息的基础上，判决模块将选择接着使用哪类数据包来产生iTrace消息。

然后，iTrace产生模块处理这个选中数据包，并且发送一个新的iTrace消息。

Intention驱动的追踪还允许无论接收网络是否想接收iTrace 数据包，都可以发信号，这就增加了对接收网络有用的消息比例。

如果特定网络怀疑或者检测到它正遭到攻击，那么这种方法也很有用：它可以向上游路由器请求iTrace数据包，以识别攻击业务的源头。

表4 列出了消息传递方法的优缺点。

4、数据包标记数据包标记方法是在被追踪的IP 数据包中插入追踪数据，从而在到目标主机的网络上的各个路由器上标记数据包。

数据包标记的最简单的实现是使用记录路由选项（在RFC791 中指定的）在IP头的选项字段中存储路由器地址。

但是，这个方法增加了每个路由器处的数据包长度，并且可能导致额外的分段。

而且，攻击者可能试图用假数据来填充为路由保留的字段，从而逃避追踪。

Stefan Savage等人在2001年提出了利用随机业务抽样和压缩的数据包标记算法。

依赖随机数据包标记(PPM)的追踪机制使用概率为1/25 的随机抽样，从而避免了路由器数据包标记的过多开销。

此外，每个数据包只存储它的路由信息的一部分，而不是整条路径的信息。

而且如果攻击数据包足够多，就可以保证受害主机重构攻击路径上的每一个路由器。

压缩的边缘分段抽样技术(CEFS)已经成为最著名的IP追踪机制之一。

要执行一次成功的追踪，受害者必须搜集足够的数据包来重建攻击路径的每个边缘和完整的攻击图。

但是这在DDoS 攻击中非常困难，因为正确地将分段和编码的路径边缘组织在一起很困难。

Dawn Song和Adrian Perrig对Savages的基于边缘识别PPM 的方法提出了改进，通过存储每个IP地址的Hash 值（而不是地址本身）进一步减少了存储需求。

这种方法假设受害主机拥有所有上游路由器的完整网络图。

在重新组装边缘分段之后，该方法将产生的IP地址Hash值与从网络图得到的路由器IP 地址Hash 值相比较（以便于重建攻击路径）。

这个改进方法比以前的方法对于DDoS 攻击更加有效。

表5 列出了数据包标记的优缺点。

三、应用前景随着Internet的发展，越来越多的服务都是通过网络为大众提供的，但是与此同时，针对互联网服务的攻击手段也越来越多。

目前提出的所有IP追踪机制都有它们自己特定的优点和缺点。

没有一种解决方案可以实现有效追踪方法所规定的所有需求。

要使其中任何一个IP 追踪方案有效，必须在大部分Internet基础结构中的公司和行政边界都使用它们。

这本身似乎就是统一IP追踪方法的最大障碍之一。

而且，一些方法对于DDoS 攻击不太有效、是资源密集的、会引起网络开销，或者不能在攻击之后进行分析。