如何找到攻击数据包中的真实IP地址？

当攻击数据包中的源IP地址是伪造的时，如何找到发送攻击数据包的真实IP地址?这一问题也被称为IP追踪(IPTraceback)。对该问题, 需要按照不同背景、情况，不同分类方法来实施溯源方法。

①背景：取证人员可以控制骨干网络上的全部或大部分路由器，并且可以修改路由软件。

取证人员可以在事先给骨干网络的路由器增加新的功能,在不影响正常路由的情况下修改标准的IP协议，以帮助发现真实的IP地址。查IP地址位置、IP风险画像：https://www.ip66.net/?utm-source=LJ&utm-keyword=?1146 。基于这一条件的方法主要有概率包标记算法、确定包标记算法、ICMP标记算法等。同时还有一些组合方法，例如采用数据包标记和数据包记录的混合方法；综合了 ICMP 和 PPM 算法, 路由器对于 IP 数据包以一定概率进行标记, 并且同时把IP地址填入ICMP包中等等。

②背景：取证人员可以控制骨干网络上的路由器,但不能修改路由软件。

根据此种情况，取证人员可以事先观察记录流经骨干网络路由器的IP数据包，但不能改变标准的路由协议。

主要思路是,在路由器上记录所有流经的数据包，当攻击发生时，受害主机向其上游路由器进行查询,路由器比对所记录的数据包，可以构造出该数据包所经过的路径。该方法优点是可以回溯单个数据包，但缺点是需要考虑路由器存储空间受限的问题。

③背景：取证人员不能控制骨干网络上的路由器，但可以在网络上部署监控器。

这种情况下，取证人员只能在网络合适的位置部署监控器收集数据包，这里的网络不是指骨干网络,而是指终端网络。

在大流量数据包情况下，由于网络阻塞等各种原因，路由器会有一定几率产生目标不可达的ICMP报文，由于攻击数据包的源IP地址是虚假的，一般是随机产生的,这些ICMP报文会被发往这些虚假的IP地址,其中包含路由器的IP地址以及原数据包的源和目的IP地址。

④背景：取证人员既不能控制骨干路由器, 也不能部署监控器, 但知道骨干网络拓扑结构。

在取证人员只知道骨干网络的拓扑结构, 没有权限控制骨干网中的路由器, 也没有条件部署遍及全网的监控器的情况下，可以采取一种基于蚁群的算法, 即受害主机发出一些蚁群, 这些蚁群根据链路中负载的程度来选择路径, 链路负载越 大说明越可能是攻击流量, 因此蚁群选择该路径的概率越大。当所有蚁群达到所监控网络边缘时, 根据 蚁群所走过的路径, 则可以构造出最有可能的攻击路径。

⑤背景：取证人员既不能控制骨干路由器、不能部署监控器, 也不知道拓扑结构。

如果取证人员不掌握任何资源, 在这一条件下似乎不可能追踪到真实的IP地址。但可以采取某种方法, 获得骨干网络的拓扑结构, 从而将问题转化为拓扑结构的情况。

所以对于一般虚假IP溯源问题的解决，可以根据情况的不同采用不同的检测方法进行追溯。不过现如今网络攻击环境、攻击手法复杂且技术不断升级，我们也需要升级我们的检测方法，提高网络攻击溯源的技术水平，这样才能更好地保护我们的网络安全。