我最近遭受了一次 DDoS 攻击。这是一次使用欺骗 IP 的 SYN 洪水攻击。是否有可能将攻击追溯到实际的发送服务器?
答案1
不是有效的答案。但这不是绝对的答案,因为存在一种理论条件,即可以连续要求每个上游连接查看其完整的流量转储并告诉您数据包来自何处。在来自单一来源的大量流量的持续攻击中,可以借助每个连续上游系统所有者的帮助,使用实时数据和一段时间内的过滤来做到这一点。
但对于所有现实和可能的情况,您永远找不到某些单个欺骗数据包的来源,甚至找不到许多欺骗数据包的来源。
答案2
IP 数据包不包含有关其所经过的路径的任何信息(TTL 标头除外,但它不会告诉您它最初是什么)。
所以没有实际的方法可以做到这一点。您可以联系您的上游提供商,如果他们拥有大型网络,他们也许能够大致判断出问题的来源。但除非这是一个严重的反复出现的问题,否则您就没那么幸运了。
如果你对学术方面的内容感兴趣,或者对互联网提供商可能做什么感兴趣,请阅读本文文章。