阅读论文2018:A closer look at IP-ID behavior in the Wild

我哭辽！码了一个小时左划一下子没了！

作者

• Flavia Salutari
• Danilo Cicalese

知识点

IP ID 发展历史

• RFC791：用于分片重组
• 2006 RFC4413：除了两端的唯一性，说明了不同的行为（全局、局部、随机）
• 2008 RFC5225：观察到IP ID可能为0
• 2012 Counting NATted hosts by observing TCP/IP field behaviors：IP ID的行为依赖于不同的操作系统（ In particular [22] reports Windows and FreeBSD to use a global counter, Linux and MacOS to use local counters and OpenBSD to use pseudo-random IP-IDs.）
• 2013 RFC6864：DF不置1的情况下IP ID可为0。
• 2012 RFC6274：全局性ID会引发安全问题
• 2016 RFC7739：IPV6情况下的考虑

IP ID 研究情况

• 发现负载均衡的服务器
• 计算NAT后的主机
• 测量网络流量，发现路由别名
• 推算路由时间
• 揭示互联网审查

觉得工作基于全局性IP行为，本文从不同方面进行分类

摘要

IP ID 为了分片重组，但是随着技术的发展已经不太需要，并且处于安全考虑不建议使用它当作流计数工具。

本文利用主动探测实验了对IP ID不同行为的分类

研究点的提出

IP ID 的异常行为以及、过去大多针对与IP ID全局性进行研究，随着技术变化出现了新的趋势。

新颖点

多方面考察IP ID 行为

贡献

1. 设计一种分类IP ID行为的方法
2. 数据集进行验证
3. 应用于互联网范围内的测量，针对/24进行分类

实验

要求

1. 可靠的分类器
2. 强特征以来适用各种情况

IP ID 分类

1. 常数
2. 局部：随着流中数据包的增加加1；
3. 全局：随着全局流量中数据包的增加加1；
4. 随机
5. 异常：配置错误、主机异常、网络设备情况

实验方式

设计出接收/发送 ICMP工具，部署两个在校园网x、y，探测t，对于收到的数据包记录ID序列于s，记录差值KaTeX parse error: Expected group after '^' at position 4: x_i^̲' = x_i - x_{i-…

特征$H(s), \sigma_x, E[x^'], \sigma _s, H(x^'), \sigma^'$

IP欺骗的方式
选择这种方式的目的是：单个观测点虽然能区分常量或非常量但是不能区分全局或局部。所以一个发包伪造不同的IP来实现局部和全局的观测

IP ID分类器

CART 信息增益

1. 标记的训练数据集，构建这些数据集
2. 研究分类器对损失的稳健程度
3. 评估实现可靠分类所需的最小样本数N

验证

t：2000
N：100
1855个主机100%回复

鲁棒性

dicard

（i）制服i.i.d.损失模型;
（ii）孔模型，其中从序列中的随机点开始，移除20％的连续样品;
（iii）一个极端模型，我们删除20％的初始值（或相当于序列的最后20％）;
（iv）等距模型，其中损失从随机点开始并且在序列上等间隔。

互联网范围内的测量

as we aim at providing an accurate picture of the relative popularity of IP-ID implementations on the Internet, it suffices to collect measurements for a large number of targets, namely 1 alive IP/32 host per each /24 prefix.

感悟

这是一篇分类不同IP ID行为论文，采用了机器学习决策树的方法

我get到了不同行为的IP ID行为情况

以及写东西要及时发布

呵呵