當(dāng)攻擊數(shù)據(jù)包中的源IP地址（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）是偽造的時(shí)，如何找到發(fā)送攻擊數(shù)據(jù)包的真實(shí)IP地址？這一問(wèn)題也被稱為IP追蹤(IPTraceback)。對(duì)該問(wèn)題, 需要按照不同背景、情況，不同分類方法來(lái)實(shí)施溯源方法。

①背景：取證人員可以控制骨干網(wǎng)絡(luò)上的全部或大部分路由器，并且可以修改路由軟件。

取證人員可以在事先給骨干網(wǎng)絡(luò)的路由器增加新的功能,在不影響正常路由的情況下修改標(biāo)準(zhǔn)的IP協(xié)議，以幫助發(fā)現(xiàn)真實(shí)的IP地址。

基于這一條件的方法主要有概率包標(biāo)記算法、確定包標(biāo)記算法、ICMP標(biāo)記算法等。同時(shí)還有一些組合方法，例如采用數(shù)據(jù)包標(biāo)記和數(shù)據(jù)包記錄的混合方法；綜合了 ICMP 和 PPM 算法, 路由器對(duì)于 IP 數(shù)據(jù)包以一定概率進(jìn)行標(biāo)記, 并且同時(shí)把IP地址填入ICMP包中等等。

②背景：取證人員可以控制骨干網(wǎng)絡(luò)上的路由器,但不能修改路由軟件。

根據(jù)此種情況，取證人員可以事先觀察記錄流經(jīng)骨干網(wǎng)絡(luò)路由器的IP數(shù)據(jù)包，但不能改變標(biāo)準(zhǔn)的路由協(xié)議。

主要思路是,在路由器上記錄所有流經(jīng)的數(shù)據(jù)包，當(dāng)攻擊發(fā)生時(shí)，受害主機(jī)向其上游路由器進(jìn)行查詢,路由器比對(duì)所記錄的數(shù)據(jù)包，可以構(gòu)造出該數(shù)據(jù)包所經(jīng)過(guò)的路徑。該方法優(yōu)點(diǎn)是可以回溯單個(gè)數(shù)據(jù)包，但缺點(diǎn)是需要考慮路由器存儲(chǔ)空間受限的問(wèn)題。

所以針對(duì)此種情況，Alex C.Snoeren、Craig Partridge等人在《Single-packet IP traceback》設(shè)計(jì)了一個(gè)追蹤系統(tǒng)SPIE,不是讓路由器記錄整個(gè)數(shù)據(jù)包，而是利用bloom filter記錄數(shù)據(jù)包的摘要，大大減少了所需的存儲(chǔ)空間。然后通過(guò)查詢每個(gè)路由器上的數(shù)據(jù)包摘要，可以重構(gòu)出攻擊路徑。

還可以根據(jù)部分路由器進(jìn)行數(shù)據(jù)包記錄的情況, 并且對(duì)于多個(gè)攻擊源問(wèn)題, 該方法只需要追蹤屬于多個(gè)攻擊源的數(shù)據(jù)包就可以識(shí)別出多個(gè)攻擊源。

在《Session based logging (SBL) for IP-traceback on network forensics》中提出一種基于Session的數(shù)據(jù)包記錄方法, 即只記錄TCP數(shù)據(jù)流中的連接建立請(qǐng)求SYN數(shù)據(jù)包和連接終止 FIN 數(shù)據(jù)包, 忽略掉流中間的數(shù)據(jù)包, 從而大大減少所需的存儲(chǔ)空間。

在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中針對(duì)跨自治域的追蹤問(wèn)題,可以利用路由器的IP包記錄方法, 結(jié)合鏈路層的MAC地址來(lái)識(shí)別虛假IP地址, 實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。

由于在這種情況下不能改變現(xiàn)有路由結(jié)構(gòu), 另外一個(gè)思路是在現(xiàn)有路由結(jié)構(gòu)上建立一個(gè)覆蓋網(wǎng)絡(luò)(Overlay Network), 通過(guò)新設(shè)計(jì)的覆蓋網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)數(shù)據(jù)包跟蹤。

③背景：取證人員不能控制骨干網(wǎng)絡(luò)上的路由器，但可以在網(wǎng)絡(luò)上部署監(jiān)控器。

這種情況下，取證人員只能在網(wǎng)絡(luò)合適的位置部署監(jiān)控器收集數(shù)據(jù)包，這里的網(wǎng)絡(luò)不是指骨干網(wǎng)絡(luò),而是指終端網(wǎng)絡(luò)。

在大流量數(shù)據(jù)包情況下，由于網(wǎng)絡(luò)阻塞等各種原因，路由器會(huì)有一定幾率產(chǎn)生目標(biāo)不可達(dá)的ICMP報(bào)文，由于攻擊數(shù)據(jù)包的源IP地址是虛假的，一般是隨機(jī)產(chǎn)生的,這些ICMP報(bào)文會(huì)被發(fā)往這些虛假的IP地址,其中包含路由器的IP地址以及原數(shù)據(jù)包的源和目的IP地址。

因此部署在網(wǎng)絡(luò)上的監(jiān)控器會(huì)收到這些ICMP報(bào)文，根據(jù)發(fā)送這些ICMP報(bào)文的路由器,可以構(gòu)造出這些數(shù)據(jù)包的攻擊路徑。Robert Stone和Centertrack在《an IP overlay network for tracking DoS floods》提出了，利用NetworkTelescope 項(xiàng)目(能夠覆蓋1/256的IPv4地址)收集的數(shù)據(jù)，結(jié)合骨干網(wǎng)的拓?fù)浣Y(jié)構(gòu),可以在一定程度上發(fā)現(xiàn)攻擊源。

但是溯源追蹤的方法要求攻擊數(shù)據(jù)包的流量比較大，并且在攻擊正在進(jìn)行的時(shí)候?qū)嵤坏┕艚Y(jié)束，這種方法就無(wú)法找到真實(shí)的IP地址。

④背景：取證人員既不能控制骨干路由器, 也不能部署監(jiān)控器, 但知道骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

在取證人員只知道骨干網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu), 沒(méi)有權(quán)限控制骨干網(wǎng)中的路由器, 也沒(méi)有條件部署遍及全網(wǎng)的監(jiān)控器的情況下，我們可以采取以下幾種追蹤溯源的方法。

Hal Burch和Bill Cheswick在《Tracing anonymous packets to their approximate source》提出了一種鏈路測(cè)試的方法。在大流量數(shù)據(jù)包的情況下，從被攻擊目標(biāo)出發(fā),由近及遠(yuǎn)，依次對(duì)被攻擊目標(biāo)的上游路由器進(jìn)行UDP泛洪。若某條鏈路上存在攻擊流量,由于泛洪流量的存在，將導(dǎo)致攻擊流量丟包。根據(jù)這一現(xiàn)象，即可以判斷出某條鏈路上是否存在攻擊流量,從而構(gòu)造出攻擊路徑。

不過(guò)該方法只能對(duì)單個(gè)攻擊流量進(jìn)行檢測(cè),若同時(shí)存在多個(gè)攻擊流量，則很難區(qū)分不同的攻擊流量。這種方法同樣要求攻擊數(shù)據(jù)包流量較大,并且一旦攻擊結(jié)束,方法也就失效了。另外，這種方法本身就是一種 DoS攻擊，會(huì)影響正常的數(shù)據(jù)流量。

也可以采取一種基于蟻群的算法, 即受害主機(jī)發(fā)出一些蟻群, 這些蟻群根據(jù)鏈路中負(fù)載的程度來(lái)選擇路徑, 鏈路負(fù)載越 大說(shuō)明越可能是攻擊流量, 因此蟻群選擇該路徑的概率越大。當(dāng)所有蟻群達(dá)到所監(jiān)控網(wǎng)絡(luò)邊緣時(shí), 根據(jù) 蟻群所走過(guò)的路徑, 則可以構(gòu)造出最有可能的攻擊路徑。

所以對(duì)于一般虛假IP溯源問(wèn)題的解決，可以根據(jù)情況的不同采用不同的檢測(cè)方法進(jìn)行追溯。不過(guò)現(xiàn)如今網(wǎng)絡(luò)攻擊環(huán)境、攻擊手法復(fù)雜且技術(shù)不斷升級(jí)，我們也需要升級(jí)我們的檢測(cè)方法，提高網(wǎng)絡(luò)攻擊溯源（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）的技術(shù)水平，這樣才能更好地保護(hù)我們的網(wǎng)絡(luò)安全。