五种常见掩盖真实IP的网络攻击追踪

由于攻击者可以采用不同的形式来隐藏自身真实的IP地址，如虚假IP地址或跳板的方式,那么可以将攻击源追踪问题分为下面5个问题:虚假IP溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源。

虚假IP溯源:

取证人员检测到的攻击数据包中，其源IP地址是伪造的。例如，典型的SYN Flood攻击。

在这种网络攻击中，攻击者将攻击数据包中的源IP地址替换为伪造的IP地址,受害主机收到数据包后,将响应数据包发送给伪造的IP地址主机，这些主机可能存在也可能不存在。这样在受害主机端,无法得到攻击主机的IP地址。

除此之外, 还有一种特殊的“反射攻击”, 如Smurf 攻击、DNS放大攻击等在这种攻击中,攻击者将攻击数据包中的源IP地址替换为受害者的IP地址，将攻击数据包发送给反射主机，反射主机收到数据包后，响应数据包将发送给受害主机。从受害主机端观察，只能判断这些数据包来自反射主机，无法知道真正攻击者的IP地址。

僵尸网络溯源:

攻击者利用僵尸网络发动攻击，取证人员检测到攻击数据包中，其源IP地址来自于Botnet中的bot主机，在这种情况下如何追踪定位攻击者的主机?

在这种攻击中，攻击者利用C&C型或P2P型Botnet，先发送控制指令, bot主机接收到控制指令后,向设定的攻击目标发动攻击。在受害主机端,可以看到攻击数据包来自 bot主机，而无法识别出真正的Botmaster。

匿名网络溯源:

攻击者利用匿名网络,如“Tor”,发动攻击,取证人员检测到攻击数据包中,其源IP地址来自于匿名网络，在这种情况下如何追踪定位攻击者的主机?Tor 网络就是匿名网络典型的攻击场。

在这种攻击中,攻击者的攻击数据包通过匿名网络进行转发，在受害主机端，只能观察到攻击数据包来自于出口路由器，而不能发现真正的攻击者。

跳板溯源:

攻击者利用多个“跳板主机”，即通过控制多个主机转发攻击数据包，取证人员检测到攻击数据包，其源IP地址是最后一跳“跳板主机”的IP地址，前一段时间西北工业大学被NAS攻击中，就运用了54台跳板来隐藏真正的IP地址【https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1086】。

在这种攻击中,攻击者事先控制多个跳板主机,利用跳板转发攻击数据包。在受害主机端,只能看到攻击数据包来自于最后一跳的主机,而不能识别出真正的攻击者。很显然,跳板路径越长,越难追踪攻击者。

局域网络溯源:

攻击者位于私有网络内，其攻击数据包中的源IP地址经过了网关的VAT(Network Address Transform)地址转换。

在这种攻击中,由于攻击者的IP地址是私有IP地址,在受害主机端只能看到NAT网关的IP地址。在大型私有网络内，特别是无线局域网中，寻找定位攻击者并不是一件简单的事情。

在实际的网络攻击事件中, 可能并不严格遵守上述各种攻击场景, 但大致可以归为上述某个或某几个问题。