Não é a resposta efetiva. Não é a resposta absoluta, uma vez que existe uma condição teórica em que alguém poderia sucessivamente perguntar a cada conexão upstream para a próxima para ver seu despejo completo de tráfego e dizer de onde o pacote veio. Em um ataque sustentado com muito volume de uma única fonte, pode-se fazer isso com dados ativos e filtragem por um período de tempo com a ajuda de cada proprietário de sistema upstream sucessivo.
Mas para todos os cenários realistas e prováveis, você nunca encontrará a origem de algum pacote falso falsificado, ou mesmo muitos deles.