Можно ли найти фактический исходный IP-адрес пакета с поддельным IP-заголовком?
Я недавно попал под DDoS-атаку. Это был SYN-поток с использованием поддельных IP-адресов. Можно ли вообще отследить атаку на реальный отправляющий сервер?
2 ответа
Нет, это эффективный ответ. Это не абсолютный ответ, поскольку существует теоретическое условие, при котором можно последовательно попросить каждое восходящее соединение к следующему взглянуть на их полный дамп трафика и сказать вам, откуда пришел пакет. В длительной атаке с большим объемом из одного источника можно было бы сделать это с живыми данными и фильтрацией в течение определенного периода времени с помощью каждого последующего владельца восходящей системы.
Но для всех реалистичных и вероятных сценариев вы никогда не найдете источник какого-либо одного поддельного пакета или даже многих из них.
IP-пакеты не содержат никакой информации о пути, который они прошли (за исключением заголовка TTL, но это не скажет вам, каким он был изначально).
Таким образом, нет практического способа сделать это. Вы могли бы связаться с вашим поставщиком апстрима, и они могли бы примерно сказать, откуда он взялся, если у них большая сеть. Но если это не серьезная повторяющаяся проблема, вам не повезло.
Если вы заинтересованы в более академической стороне или о том, что может сделать интернет-провайдер, прочитайте эту статью.