由于攻擊者可以采用不同的形式來隱藏自身真實(shí)的IP地址，如虛假IP地址（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）或跳板的方式，那么可以將攻擊源追蹤問題分為下面5個(gè)問題:虛假IP溯源、僵尸網(wǎng)絡(luò)溯源、匿名網(wǎng)絡(luò)溯源、跳板溯源、局域網(wǎng)溯源，由此對這五種問題進(jìn)行追蹤溯源。

虛假IP溯源:

取證人員檢測到的攻擊數(shù)據(jù)包中，其源IP地址是偽造的。例如，典型的SYN Flood攻擊。

在這種網(wǎng)絡(luò)攻擊中，攻擊者將攻擊數(shù)據(jù)包中的源IP地址替換為偽造的IP地址,受害主機(jī)收到數(shù)據(jù)包后,將響應(yīng)數(shù)據(jù)包發(fā)送給偽造的IP地址主機(jī)，這些主機(jī)可能存在也可能不存在。這樣在受害主機(jī)端,無法得到攻擊主機(jī)的IP地址。

除此之外, 還有一種特殊的“反射攻擊”, 如Smurf 攻擊、DNS放大攻擊等在這種攻擊中,攻擊者將攻擊數(shù)據(jù)包中的源IP地址替換為受害者的IP地址，將攻擊數(shù)據(jù)包發(fā)送給反射主機(jī)，反射主機(jī)收到數(shù)據(jù)包后，響應(yīng)數(shù)據(jù)包將發(fā)送給受害主機(jī)。從受害主機(jī)端觀察，只能判斷這些數(shù)據(jù)包來自反射主機(jī)，無法知道真正攻擊者的IP地址。

僵尸網(wǎng)絡(luò)溯源:

攻擊者利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)攻擊，取證人員檢測到攻擊數(shù)據(jù)包中，其源IP地址來自于Botnet中的bot主機(jī)，在這種情況下如何追蹤定位攻擊者的主機(jī)?

在這種攻擊中，攻擊者利用C&C型或P2P型Botnet，先發(fā)送控制指令, bot主機(jī)接收到控制指令后,向設(shè)定的攻擊目標(biāo)發(fā)動(dòng)攻擊。在受害主機(jī)端,可以看到攻擊數(shù)據(jù)包來自 bot主機(jī)，而無法識(shí)別出真正的Botmaster。

匿名網(wǎng)絡(luò)溯源:

攻擊者利用匿名網(wǎng)絡(luò),如‘Tor,發(fā)動(dòng)攻擊,取證人員檢測到攻擊數(shù)據(jù)包中,其源IP地址來自于匿名網(wǎng)絡(luò)，在這種情況下如何追蹤定位攻擊者的主機(jī)?Tor 網(wǎng)絡(luò)就是匿名網(wǎng)絡(luò)典型的攻擊場。

在這種攻擊中,攻擊者的攻擊數(shù)據(jù)包通過匿名網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)發(fā)，在受害主機(jī)端，只能觀察到攻擊數(shù)據(jù)包來自于出口路由器，而不能發(fā)現(xiàn)真正的攻擊者。

跳板溯源:

攻擊者利用多個(gè)“跳板主機(jī)”，即通過控制多個(gè)主機(jī)轉(zhuǎn)發(fā)攻擊數(shù)據(jù)包，取證人員檢測到攻擊數(shù)據(jù)包，其源IP地址是最后一跳“跳板主機(jī)”的IP地址，前一段時(shí)間西北工業(yè)大學(xué)被NAS攻擊中，就運(yùn)用了54臺(tái)跳板來隱藏真正的IP地址。

在這種攻擊中,攻擊者事先控制多個(gè)跳板主機(jī),利用跳板轉(zhuǎn)發(fā)攻擊數(shù)據(jù)包。在受害主機(jī)端,只能看到攻擊數(shù)據(jù)包來自于最后一跳的主機(jī),而不能識(shí)別出真正的攻擊者。很顯然,跳板路徑越長,越難追蹤攻擊者。

局域網(wǎng)絡(luò)溯源:

攻擊者位于私有網(wǎng)絡(luò)內(nèi)，其攻擊數(shù)據(jù)包中的源IP地址經(jīng)過了網(wǎng)關(guān)的VAT(Network Address Transform)地址轉(zhuǎn)換。

在這種攻擊中,由于攻擊者的IP地址（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1084）是私有IP地址,在受害主機(jī)端只能看到NAT網(wǎng)關(guān)的IP地址。在大型私有網(wǎng)絡(luò)內(nèi)，特別是無線局域網(wǎng)中，尋找定位攻擊者并不是一件簡單的事情。

在實(shí)際的網(wǎng)絡(luò)攻擊事件中, 可能并不嚴(yán)格遵守上述各種攻擊場景, 但大致可以歸為上述某個(gè)或某幾個(gè)問題。