Можно ли найти фактический исходный IP-адрес пакета с поддельным IP-заголовком?

Я недавно попал под DDoS-атаку. Это был SYN-поток с использованием поддельных IP-адресов. Можно ли вообще отследить атаку на реальный отправляющий сервер?

2 ответа

Решение

Нет, это эффективный ответ. Это не абсолютный ответ, поскольку существует теоретическое условие, при котором можно последовательно попросить каждое восходящее соединение к следующему взглянуть на их полный дамп трафика и сказать вам, откуда пришел пакет. В длительной атаке с большим объемом из одного источника можно было бы сделать это с живыми данными и фильтрацией в течение определенного периода времени с помощью каждого последующего владельца восходящей системы.

Но для всех реалистичных и вероятных сценариев вы никогда не найдете источник какого-либо одного поддельного пакета или даже многих из них.

IP-пакеты не содержат никакой информации о пути, который они прошли (за исключением заголовка TTL, но это не скажет вам, каким он был изначально).

Таким образом, нет практического способа сделать это. Вы могли бы связаться с вашим поставщиком апстрима, и они могли бы примерно сказать, откуда он взялся, если у них большая сеть. Но если это не серьезная повторяющаяся проблема, вам не повезло.

Если вы заинтересованы в более академической стороне или о том, что может сделать интернет-провайдер, прочитайте эту статью.

Другие вопросы по тегам