![追踪对服务器的传入攻击](https://linux22.com/image/596239/%E8%BF%BD%E8%B8%AA%E5%AF%B9%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%9A%84%E4%BC%A0%E5%85%A5%E6%94%BB%E5%87%BB.png)
我注意到大量 UDP 流量正在访问共享 IP 上的服务器。有什么办法可以判断他们可能正在尝试访问哪个网站吗?
答案1
除非数据包主体包含此信息,否则不会。使用 tcpdump 或 wireshark 嗅探并查看。
一旦将 DNS 名称解析为 IP,就无法将其反转回来(DNS -> IP 是多对一的)。
答案2
这里的挑战是 UDP 流量很容易伪造。
如果流量很大,您的 ISP 也许能够帮助您过滤掉这些流量,但如果没有所有 ISP 的合作,就无法高度确定地追踪 UDP 流量。
如果发送数据包的人提供了虚假/无效的源 IP/端口信息,那么您真的无法追踪他们。