Lọc đếm chặng, Hop-Count Filtering, được đề xuất bởi Jin [7], là một dự án nghiên cứu tại Đại học Michigan, nhằm bảo vệ chống lại DDoS bằng cách quan sát các giá trị TTL (thời gian để sinh sống, số lượng các chặng hoặc router mà một gói tin sẽ đi qua trước khi đến đích, hoặc bị bỏ đi để tránh chặng đường quá dài hoặc lặp lại, giá trị được giảm đi ở mỗi router các gói tin đi qua) trong các gói tin inbound. Triển khai tại các mạng mục tiêu, nó quan sát giá trị TTL cho bất kỳ địa chỉ nguồn trên mạng mà đi
qua mạng mục tiêu, cố gắng để suy luận một số hop đếm số chặng (có nghĩa là, khoảng cách của người gửi đến máy phòng thủ) và xây dựng bảng mà ràng buộc một IP cho trước với số chặng.
Hệ thống này tạo nên dự đoán của chặng đếm bắt đầu với giá trị TTL quan sát và đoán giá trị TTL ban đầu đã được đặt trong gói tin ở người gửi. Chỉ có một vài giá trị như hệ điều hành sử dụng và họ là khá khác nhau, tạo điều kiện đoán chính xác. Số chặng sau đó được tính bằng sự chênh lệch giữa TTL ban đầu và các giá trị quan sát được.
Số chặng Hop-count phân phối theo phân phối chuẩn (chuông đường cong), vì có sự biến đổi đủ trong giá trị TTL. Nếu kẻ tấn công muốn đạt được điều này, hắn sẽ phải đoán đúng giá trị TTL để chèn vào một gói tin giả mạo, để số chặng suy luận phù hợp với giá trị mong đợi. Giả mạo trở nên khó khăn, vì kẻ tấn công giờ phải giả mạo giá trị TTL chính xác để liên kết với một địa chỉ nguồn được giả mạo và, tăng cường số chặng khác biệt thích hợp giữa kẻ tấn công và địa chỉ giả mạo, giao thông độc hại trở nên một mô hình dễ dàng hơn.
Trong các hoạt động chung, các bộ lọc đếm chặng là thụ động trong khi nó đang phân tích lưu lượng và nối nó với các bảng tính đến thành lập các giả định hop. Nếu số lượng bất xứng hợp vượt qua một ngưỡng thành lập, chương trình bắt đầu lọc. Các bàn đến đều được cập nhật liên tục bằng cách kiểm tra một ngẫu nhiên kết nối TCP đến một trang web trong mạng được bảo vệ. Lưu ý rằng chương trình này cố gắng để ngăn chặn lưu lượng truy cập giả mạo. Không có gì ngăn cản kẻ tấn công khỏi việc phát động một cuộc tấn công bằng các nguồn thực và mang giá trị TTL chính xác, và do đó các cuộc tấn công bằng cách sử dụng các mạng bot lớn hoặc sâu với DDoS, mà không cần phải mạo địa chỉ nguồn để thành công, vẫn sẽ là một vấn đề. Vì các loại tấn công trở nên dễ dàng ngày hôm nay, những kẻ tấn công chỉ cần áp dụng phương pháp này trên giả mạo địa chỉ nguồn để có thể vượt qua phòng thủ như vậy.
Giống như những cuộc phòng thủ phía nạn nhân, phương pháp này không thể giúp bảo vệ chống lại các cuộc tấn công quy mô lớn dựa trên việc gửi tràn tới liên kết tới vào máy thực hiện việc kiểm tra các giá trị TTL.
Chương 3: SOS VÀ WEBSOS