Я пытаюсь отфильтровать входящий трафик в сети с высокой пропускной способностью и низкой задержкой, чтобы уменьшить DDOS. Входящий трафик настраивается по протоколу UDP (я устанавливаю спецификации протокола, чтобы при необходимости можно было принудительно устанавливать заголовки IP). С помощью которого некоторый токен аутентификации может помочь отбросить поддельный трафик. Я принимаю только аутентифицированный трафик (токены аутентификации одноразового использования получены по побочному каналу).
Если я установил флаг заголовка IP «Не фрагментировать», я думаю, что все в порядке, поскольку теперь я могу полагаться на свой токен аутентификации для фильтрации трафика.
Я хотел бы знать, как я мог бы обращаться с правильно фрагментированными пакетами. Особенно против старых атак IP-фрагментов, таких как "Роза" и "Новая заря". В этих атаках, поскольку я получаю только фрагмент, я не могу использовать токен аутентификации, чтобы определить, в порядке ли трафик, пока все фрагменты не будут повторно собраны.
Сначала я подумал, что с IPSec все будет в порядке, но после быстрого просмотра википедии мне кажется, что заголовки AH получаются только после повторной сборки (исправьте меня, пожалуйста, если я ошибаюсь), поэтому мы все еще сталкиваемся с той же проблемой.
Я думаю, что было бы технически возможно добавить мой токен авторизации в качестве поля опции заголовка IP (с самым значительным битом, установленным для копирования, чтобы он копировался во все фрагменты), но я не знаю, является ли это хорошей практикой и как будет внешние маршрутизаторы (до того, как пакеты достигнут моей сети) будут обрабатывать эти пакеты.
В идеале, перед тем, как достигнуть моей конечной машины, пакеты будут проходить через сеть программных коммутаторов (уровень 2 OSI), где я хотел бы установить свои собственные правила, поэтому я бы предпочел фильтровать перед повторной сборкой IP-пакетов.