"Ein Bit hilft Hacker-Attacken zurückzuverfolgen" bdw ???

[max]

Leider verstehe ich nix.
Meinen die jetzt Email oder IP-Pakete??
Und wie soll das gehen?
Wäre das evt. eine News wert?
Gruss aus Bochum
Max

<a href="http://www.wissenschaft.de/sixcms/detail.php?id=120328" target="_blank"><!--auto-->http://www.wissenschaft.de/sixcms/detai ... <!--auto-->

[Descartes]

> ...[Die] Methode nutzt den so genannten Header, die Kopfzeilen einer E-Mail-Nachricht.
> Zwar enthalten die Kopfzeilen jeder Nachricht eine "Absender-Adresse", doch diese
> Information lässt sich leicht fälschen.
Der Text von Frau Dörte Saße ist missverständlich da der Eindruck entsteht das habe etwas mit Email Header zu tun. Wenn man aber den eigentlichen Text sich durchliest stellt man fest dass Hr. Micah Adler im gesamten Text kein einziges Wort über Email oder Email Header verliert sondern sich alles um IP-Pakete dreht. Das macht auch sinn da im Internet jeglicher Datenverkehr über IP-Pakete abgehandelt wird und Email lediglich ein darauf aufbauendes Protokoll (von vielen) darstellt.

<a href="http://www.cs.umass.edu/~micah/pubs/traceback.ps" target="_blank"><!--auto-->http://www.cs.umass.edu/~micah/pubs/tra ... <!--auto-->

In [<!--no-->15<!--no-->], Savage et. al. propose the following clever approach to the IP traceback problem: some fixed number of bits in the packet header are allocated to IP traceback, and are used to store a router ID and a hop count. Every router that
forwards a packet, independently with some probability p, writes its unique ID to those bits, and
sets the hop count to 0.With probability 1-p, the router ID is left unchanged, and the hop count is incremented. Now, say an attacker is performing a denial-of-service attack on a victim by sending a stream of packets along a path of length l. If p=&#920;(1/l), then after the victim has received O(l log l) packets, with high probability this scheme provides the victim with the entire path back to the attacker.
...
In [<!--no-->15<!--no-->], they further refine their scheme so that they require 16 header bits, and can reconstruct the entire path with high probability after a few thousand packets have been received.
...
This new technique allows any patht to be revealed to the victim even when b = 1. In other words, this new scheme requires using only a single header bit, which isobviously the minimum possible. Unfortunately, this requires &#920;((2 + &#949;)^2n ) packets to be received by the victim, for any constant &#949; >0, and thus is only appropriate for small values of n.

[max]

das smtp in osi höher zu suchen ist als ip ist mir klar, allerdings bin auch von ausgegangen das der/die bdw-Autor/in weiß wovon er/sie schreibt.
Leider verstehe
<a href="http://www.cs.umass.edu/~micah/pubs/traceback.ps" target="_blank"><!--auto-->http://www.cs.umass.edu/~micah/pubs/tra ... <!--auto-->
ich nicht viel.
Wird mir nicht klar, welcher Router jetzt seine ID reinschreibt, ist aber nicht so wichtig, denn
wenn ich ddos richtig verstehe sitzt der wahre Angreifer ja bestimmt nicht an den Rechner die den dos betreiben. Das sind ja i.d.R. irgendwelche gehackte Maschinen, oder?
Davon ab, wäre es nicht besser schon direkt bei den ersten Router einen dos zu erkennen und den angreifenden Server/Rechner direkt abzuklemmen? So das das Opfer erst gar nicht behelligt wird.
Bevor man alle Router umrüstet um die IP-Header zu makieren, könnte man ja eine Erkennung von dos Angriffen einbauen...
z.B. >2000 Pakete mit identischen Inhalt zum gleichen Ziel von attacker => dos => route del attacker