我正在尝试将传入流量过滤到高带宽、低延迟的网络,以减轻 DDOS 的影响。传入流量是自定义 UDP(我正在设置协议规范,以便在必要时强制使用 IP 标头)。一些身份验证令牌可以帮助丢弃欺骗流量。我只接受经过身份验证的流量(一次性身份验证令牌是通过侧信道获得的)。
如果我将“不分段”IP 标头标志设置为 ON,我想我就没问题了,因为我现在可以依靠我的身份验证令牌来过滤流量。
我想知道如何处理碎片数据包。特别是针对像“rose”和“new dawn”这样的旧 IP 碎片攻击。在这些攻击中,由于我只收到一个碎片,因此我无法使用身份验证令牌来确定流量是否正常,直到所有碎片都重新组装为止。
我起初认为 IPSec 没问题,但在快速浏览了维基百科后,我发现 AH 标头仅在重新组装后才获得(如果我错了,请纠正我),所以我们仍然面临同样的问题。
我认为从技术上来说可以将我的身份验证令牌添加为 IP 标头选项字段(具有最重要的副本设置位,因此它会被复制到所有片段),但我不知道这是否是一种好的做法,以及外部路由器(在数据包到达我的网络之前)将如何处理这些数据包。
理想情况下,在到达我的端点机器之前,数据包将通过软件交换机网络(OSI 的第 2 级),我希望在其中设置自定义规则,这就是为什么我宁愿在重组 IP 数据包之前进行过滤。