當(dāng)攻擊數(shù)據(jù)包中的源IP地址是偽造的時(shí)，如何找到發(fā)送攻擊數(shù)據(jù)包的真實(shí)IP地址?這一問(wèn)題也被稱為IP追蹤(IPTraceback)。

對(duì)該問(wèn)題, 需要按照不同背景、情況，不同分類方法來(lái)實(shí)施溯源方法。

①背景：取證人員可以控制骨干網(wǎng)絡(luò)上的全部或大部分路由器，并且可以修改路由軟件。

取證人員可以在事先給骨干網(wǎng)絡(luò)的路由器增加新的功能,在不影響正常路由的情況下修改標(biāo)準(zhǔn)的IP協(xié)議，以幫助發(fā)現(xiàn)真實(shí)的IP地址。查IP地址位置、IP風(fēng)險(xiǎn)畫(huà)像：https://www.ip66.net/?utm-source=LJ&utm-keyword=?1146

基于這一條件的方法主要有概率包標(biāo)記算法、確定包標(biāo)記算法、ICMP標(biāo)記算法等。同時(shí)還有一些組合方法，例如采用數(shù)據(jù)包標(biāo)記和數(shù)據(jù)包記錄的混合方法；綜合了 ICMP 和 PPM 算法, 路由器對(duì)于 IP 數(shù)據(jù)包以一定概率進(jìn)行標(biāo)記, 并且同時(shí)把IP地址填入ICMP包中等等。

②背景：取證人員可以控制骨干網(wǎng)絡(luò)上的路由器,但不能修改路由軟件。

根據(jù)此種情況，取證人員可以事先觀察記錄流經(jīng)骨干網(wǎng)絡(luò)路由器的IP數(shù)據(jù)包，但不能改變標(biāo)準(zhǔn)的路由協(xié)議。

主要思路是,在路由器上記錄所有流經(jīng)的數(shù)據(jù)包，當(dāng)攻擊發(fā)生時(shí)，受害主機(jī)向其上游路由器進(jìn)行查詢,路由器比對(duì)所記錄的數(shù)據(jù)包，可以構(gòu)造出該數(shù)據(jù)包所經(jīng)過(guò)的路徑。該方法優(yōu)點(diǎn)是可以回溯單個(gè)數(shù)據(jù)包，但缺點(diǎn)是需要考慮路由器存儲(chǔ)空間受限的問(wèn)題。

③背景：取證人員不能控制骨干網(wǎng)絡(luò)上的路由器，但可以在網(wǎng)絡(luò)上部署監(jiān)控器。

這種情況下，取證人員只能在網(wǎng)絡(luò)合適的位置部署監(jiān)控器收集數(shù)據(jù)包，這里的網(wǎng)絡(luò)不是指骨干網(wǎng)絡(luò),而是指終端網(wǎng)絡(luò)。

在大流量數(shù)據(jù)包情況下，由于網(wǎng)絡(luò)阻塞等各種原因，路由器會(huì)有一定幾率產(chǎn)生目標(biāo)不可達(dá)的ICMP報(bào)文，由于攻擊數(shù)據(jù)包的源IP地址是虛假的，一般是隨機(jī)產(chǎn)生的,這些ICMP報(bào)文會(huì)被發(fā)往這些虛假的IP地址,其中包含路由器的IP地址以及原數(shù)據(jù)包的源和目的IP地址。

④背景：取證人員既不能控制骨干路由器, 也不能部署監(jiān)控器, 但知道骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

在取證人員只知道骨干網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu), 沒(méi)有權(quán)限控制骨干網(wǎng)中的路由器, 也沒(méi)有條件部署遍及全網(wǎng)的監(jiān)控器的情況下，可以采取一種基于蟻群的算法, 即受害主機(jī)發(fā)出一些蟻群, 這些蟻群根據(jù)鏈路中負(fù)載的程度來(lái)選擇路徑, 鏈路負(fù)載越 大說(shuō)明越可能是攻擊流量, 因此蟻群選擇該路徑的概率越大。當(dāng)所有蟻群達(dá)到所監(jiān)控網(wǎng)絡(luò)邊緣時(shí), 根據(jù) 蟻群所走過(guò)的路徑, 則可以構(gòu)造出最有可能的攻擊路徑。

⑤背景：取證人員既不能控制骨干路由器、不能部署監(jiān)控器, 也不知道拓?fù)浣Y(jié)構(gòu)。

如果取證人員不掌握任何資源, 在這一條件下似乎不可能追蹤到真實(shí)的IP地址。但可以采取某種方法, 獲得骨干網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu), 從而將問(wèn)題轉(zhuǎn)化為拓?fù)浣Y(jié)構(gòu)的情況。

所以對(duì)于一般虛假IP溯源問(wèn)題的解決，可以根據(jù)情況的不同采用不同的檢測(cè)方法進(jìn)行追溯。不過(guò)現(xiàn)如今網(wǎng)絡(luò)攻擊環(huán)境、攻擊手法復(fù)雜且技術(shù)不斷升級(jí)，我們也需要升級(jí)我們的檢測(cè)方法，提高網(wǎng)絡(luò)攻擊溯源的技術(shù)水平，這樣才能更好地保護(hù)我們的網(wǎng)絡(luò)安全。