DoS攻击一般都默认地使用IP欺骗方式实施攻击，使网络服务器充斥大量要求回复的信 息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止为合法用户 提供正常的网络服务。大部分DDoS攻击都是间接地通过其他主机系统攻击它们的目标。 一旦攻击者知道无辜用户的账号，他就能伪装成那个人实施犯罪。攻击者还可以通过获得 管理特权，在任何一台计算机上创建新账号。攻击者利用窃取来的账号清洗攻击数据 包：被窃取账号的主机（以下称清洗主机）接收和处理攻击主机的数据包，然后再将数据 包发送给受害主机。因此，攻击者就利用清洗主机伪装了它们的身份。在DDoS攻击中， 为了提高攻击的成功率，攻击者会同时控制成百上千台清洗主机，每台清洗主机根据攻击 命令向目标主机发送大量的DoS数据包，使目标主机瘫痪。必须采取相应的措施来阻止或 者减轻DoS/DDoS攻击，并对攻击做出反应。J9九游会官方网站阻止或者减轻攻击效果的方法称为预防性措 施，包括优化软件参数、输入过滤和速率限制。而要对攻击做出反应，则必须采用各种 IP反向追踪技术：不仅能识别攻击主机的真正IP地址，而且还可以获得产生攻击的机构 信息，例如它的名称和网络管理员的E-mail地址等。

　　根据IP追踪的主动程度，可以将现有的IP追踪技术分为两大类：主动追踪和反应追 踪。主动追踪技术为了追踪IP源地址，需要在传输数据包时准备一些信息，并利用这些 信息识别攻击源。主动追踪方法在数据包通过网络时记录追踪信息，受害主机可以使用产 生的追踪数据重建攻击路径，并最终识别攻击者。主动追踪包括数据包记录、消息传递 和数据包标记。而反应追踪却是在检测到攻击之后，才开始利用各种技术从攻击目标反向 追踪到攻击的发起点。必须在攻击还在实施时完成它们，否则，一旦攻击停止，反应追 踪技术就会无效。输入调试和可控涌塞属于反应追踪措施。大部分反应追踪需要很大程度 的ISP合作，这样会造成大量的管理负担以及困难的法律和政策问题，因此有效的IP追 踪方法应该需要最少的或者根木不需要ISP合作。

　　顾名思义，链路测试（有时也称为逐段追踪）法通过测试路由器之间的网络链路来确

　　定攻击业务源头。大部分技术从最接近受害主机的路由器开始，测试它的输入（上行） 链路以确定携带业务的路由器。如果检测到了有电子欺骗的数据包（通过比较数据包的源 IP地址和它的路由表信息），那么它就会登录到上一级路由器，并继 续监控数据包。如 果仍然检测到有电子欺骗的扩散攻击，就会登录到再上一级路由器上再次检测电子欺骗的 数据包。重复执行这一过程，直到到达实际的攻击源。链 路测试是反应追踪方法，要求 攻击在完成追踪之前都一直存在。输入调试和受控淹没是链路测试方法的两种实现方法。

　　许多路由器都存在这种特性：管理员能够确定特定数据包的输入网络链路。如果路由 器操作人员知道攻击业务的特定特性（称为攻击特征），那就有可能在路由器上确定输入 网络链路。然后，ISP必须对连