由于攻擊者可以采用不同的形式來隱藏自身真實的IP地址，如虛假IP地址或跳板的方式,那么可以將攻擊源追蹤問題分為下面5個問題:虛假IP溯源、僵尸網(wǎng)絡溯源、匿名網(wǎng)絡溯源、跳板溯源、局域網(wǎng)溯源。

虛假IP溯源:

取證人員檢測到的攻擊數(shù)據(jù)包中，其源IP地址是偽造的。例如，典型的SYN Flood攻擊。

在這種網(wǎng)絡攻擊中，攻擊者將攻擊數(shù)據(jù)包中的源IP地址替換為偽造的IP地址,受害主機收到數(shù)據(jù)包后,將響應數(shù)據(jù)包發(fā)送給偽造的IP地址主機，這些主機可能存在也可能不存在。這樣在受害主機端,無法得到攻擊主機的IP地址。

除此之外, 還有一種特殊的“反射攻擊”, 如Smurf 攻擊、DNS放大攻擊等在這種攻擊中,攻擊者將攻擊數(shù)據(jù)包中的源IP地址替換為受害者的IP地址，將攻擊數(shù)據(jù)包發(fā)送給反射主機，反射主機收到數(shù)據(jù)包后，響應數(shù)據(jù)包將發(fā)送給受害主機。從受害主機端觀察，只能判斷這些數(shù)據(jù)包來自反射主機，無法知道真正攻擊者的IP地址。

僵尸網(wǎng)絡溯源:

攻擊者利用僵尸網(wǎng)絡發(fā)動攻擊，取證人員檢測到攻擊數(shù)據(jù)包中，其源IP地址來自于Botnet中的bot主機，在這種情況下如何追蹤定位攻擊者的主機?

在這種攻擊中，攻擊者利用C&C型或P2P型Botnet，先發(fā)送控制指令, bot主機接收到控制指令后,向設定的攻擊目標發(fā)動攻擊。在受害主機端,可以看到攻擊數(shù)據(jù)包來自 bot主機，而無法識別出真正的Botmaster。

匿名網(wǎng)絡溯源:

攻擊者利用匿名網(wǎng)絡,如“Tor”,發(fā)動攻擊,取證人員檢測到攻擊數(shù)據(jù)包中,其源IP地址來自于匿名網(wǎng)絡，在這種情況下如何追蹤定位攻擊者的主機?Tor 網(wǎng)絡就是匿名網(wǎng)絡典型的攻擊場。

在這種攻擊中,攻擊者的攻擊數(shù)據(jù)包通過匿名網(wǎng)絡進行轉(zhuǎn)發(fā)，在受害主機端，只能觀察到攻擊數(shù)據(jù)包來自于出口路由器，而不能發(fā)現(xiàn)真正的攻擊者。

跳板溯源:

攻擊者利用多個“跳板主機”，即通過控制多個主機轉(zhuǎn)發(fā)攻擊數(shù)據(jù)包，取證人員檢測到攻擊數(shù)據(jù)包，其源IP地址是最后一跳“跳板主機”的IP地址，前一段時間西北工業(yè)大學被NAS攻擊中，就運用了54臺跳板來隱藏真正的IP地址【https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1086】。

在這種攻擊中,攻擊者事先控制多個跳板主機,利用跳板轉(zhuǎn)發(fā)攻擊數(shù)據(jù)包。在受害主機端,只能看到攻擊數(shù)據(jù)包來自于最后一跳的主機,而不能識別出真正的攻擊者。很顯然,跳板路徑越長,越難追蹤攻擊者。

局域網(wǎng)絡溯源:

攻擊者位于私有網(wǎng)絡內(nèi)，其攻擊數(shù)據(jù)包中的源IP地址經(jīng)過了網(wǎng)關的VAT(Network Address Transform)地址轉(zhuǎn)換。

在這種攻擊中,由于攻擊者的IP地址是私有IP地址,在受害主機端只能看到NAT網(wǎng)關的IP地址。在大型私有網(wǎng)絡內(nèi)，特別是無線局域網(wǎng)中，尋找定位攻擊者并不是一件簡單的事情。

在實際的網(wǎng)絡攻擊事件中, 可能并不嚴格遵守上述各種攻擊場景, 但大致可以歸為上述某個或某幾個問題。