Rob Asked: 2012-06-01 10:13:55 +0800 CST2012-06-01 10:13:55 +0800 CST 2012-06-01 10:13:55 +0800 CST 是否有可能找到带有欺骗性 IP 标头的数据包的实际源 IP? 772 我最近受到了 DDoS 攻击。这是使用欺骗性 IP 的 SYN 泛洪。是否有可能将攻击追溯到实际的发送服务器? ip ddos 2 个回答 Voted Best Answer Jeff Ferland 2012-06-01T10:20:18+08:002012-06-01T10:20:18+08:00 否是有效的答案。这不是绝对的答案,因为存在一种理论条件,可以连续询问每个上游连接到下一个连接以查看它们的完整流量转储并告诉您数据包来自何处。在来自单一来源的大量攻击的持续攻击中,在每个连续的上游系统所有者的帮助下,可以在一段时间内使用实时数据和过滤来做到这一点。 但对于所有现实和可能的场景,您永远无法找到某个单一欺骗性数据包的来源,甚至无法找到其中许多数据包的来源。 Kyle Brandt 2012-06-01T10:17:50+08:002012-06-01T10:17:50+08:00 IP 数据包不包含有关它们经过的路径的任何信息(TTL 标头除外,但它不会告诉您它最初是什么)。 所以没有实际的方法来做到这一点。您可以联系您的上游提供商,如果他们拥有庞大的网络,他们可能能够大致判断出它的来源。但除非这是一个严重的反复出现的问题,否则你就不走运了。 如果您对更学术的方面感兴趣,或者互联网提供商可能会做什么,请阅读这篇文章。
否是有效的答案。这不是绝对的答案,因为存在一种理论条件,可以连续询问每个上游连接到下一个连接以查看它们的完整流量转储并告诉您数据包来自何处。在来自单一来源的大量攻击的持续攻击中,在每个连续的上游系统所有者的帮助下,可以在一段时间内使用实时数据和过滤来做到这一点。
但对于所有现实和可能的场景,您永远无法找到某个单一欺骗性数据包的来源,甚至无法找到其中许多数据包的来源。
IP 数据包不包含有关它们经过的路径的任何信息(TTL 标头除外,但它不会告诉您它最初是什么)。
所以没有实际的方法来做到这一点。您可以联系您的上游提供商,如果他们拥有庞大的网络,他们可能能够大致判断出它的来源。但除非这是一个严重的反复出现的问题,否则你就不走运了。
如果您对更学术的方面感兴趣,或者互联网提供商可能会做什么,请阅读这篇文章。