É possível encontrar o IP de origem real de um pacote com um cabeçalho IP falsificado?

4

Recentemente, recebi um ataque DDoS. Foi uma inundação SYN usando IPs falsificados. É possível rastrear o ataque de volta ao servidor de envio real?

    
por Rob 31.05.2012 / 20:13

2 respostas

12

Não é a resposta efetiva. Não é a resposta absoluta, uma vez que existe uma condição teórica em que alguém poderia sucessivamente perguntar a cada conexão upstream para a próxima para ver seu despejo completo de tráfego e dizer de onde o pacote veio. Em um ataque sustentado com muito volume de uma única fonte, pode-se fazer isso com dados ativos e filtragem por um período de tempo com a ajuda de cada proprietário de sistema upstream sucessivo.

Mas para todos os cenários realistas e prováveis, você nunca encontrará a origem de algum pacote falso falsificado, ou mesmo muitos deles.

    
por 31.05.2012 / 20:20
10

Os pacotes IP não contêm nenhuma informação sobre o caminho que eles percorreram (com exceção do cabeçalho TTL, mas isso não lhe diria o que era inicialmente).

Portanto, não há maneira prática de fazer isso. Você poderia entrar em contato com seu provedor de upstream, e eles podem ser capazes de dizer aproximadamente onde eles vieram se tivessem uma grande rede. Mas a menos que seja um problema recorrente sério, você está sem sorte.

Se você estiver interessado em um lado mais acadêmico, ou o que um provedor de Internet pode fazer, leia este artigo .

    
por 31.05.2012 / 20:17

Tags