一种抵御 DDoS 攻击的 IP 追踪技术
这篇文章来自作者2008年的一个备忘录,他决定将这个关于 DDoS 攻击防御的早期想法电子化。文章探讨了一个在 IP 协议基础上的扩展技术,即“差分确定性数据包标记”,旨在帮助服务器在遭受 DDoS 攻击时识别攻击流量并定位来源。 他提出的方案核心在于,让网络边缘的接入路由器对经过的数据包 IP 头进行标记。利用一个关键假设——正常流量源 IP 与路由器接口 IP 通常仅在末尾若干位不同,路由器可以仅标记这些不同的位,而不是冗长的完整路径信息。算法中甚至用上了 IP 头里闲置的 IDENTIFICATION 字段来承载这些标记。 这一改进带来了几个实际好处:大部分正常数据包仅需一个包就能完成回溯,极大减轻了路由器计算负担,同时也避免了正常 IP 分片受到标记操作的影响。 当然,作者自己也坦言,这个想法创新有限,且需要在运营商全网部署,工程实现难度极高,因此当年并未发表。但它清晰地展示了一个从实际网络假设出发、优化现有协议以解决特定安全问题的技术思考过程。