我最近受到了DDoS攻击。 这是一个使用欺骗IP的SYN洪水。 是否有可能追溯到实际的发送服务器的攻击?
没有是有效的答案。 这不是绝对的答案,因为存在一个理论条件,在这个理论条件下,可以连续询问每个上游连接到下一个连接,看看它们的完整stream量,并告诉你数据包来自哪里。 在来自单一来源的大量数量的持续攻击中,在每个连续的上游系统拥有者的帮助下,可以通过实时数据和过滤一段时间进行过滤。
但是,对于所有现实和可能的情况,你永远不会find一个单一的欺骗数据包的来源,甚至其中许多。
IP数据包不包含关于它们遍历的path的任何信息(TTL头除外,但是不会告诉你最初是什么)。
所以没有可行的方法来做到这一点。 你可以联系你的上游供应商,如果他们有大的networking,他们可能能够粗略地分辨出来。 但是,除非这是一个严重的问题,否则你是不幸的。
如果您对更多的学术方面感兴趣,或者互联网提供商可能做什么去读这篇文章 。