针对IP欺骗如何追踪欺骗的源IP地址

针对IP欺骗如何追踪攻击的源IP地址

IP欺骗

利用主机之间的正常信任关系，盗用被攻击者信任方的IP地址，从而获得对目标主机的访问权。

IP追踪

1.链路测试

通过测试路由器之间的网络链路来确定攻击源。从受害主机开始通过各种链接测试方法找到攻击流经过的上游物理连接，并按照同样的方法逐级回溯追踪攻击流经过的链路，以此达到攻击源追踪的目的。优点是实时追踪。缺点是多个网络边界和ISP之间的通信和协作的巨大管理开销，无法满足事后追踪要求。

2.路由器日志记录

通过路由器记录用户的网络操作，并通过查询日志的方式获取追踪所需的信息。记录的信息可以是经过路由器的数据流信息，报文以及报文的摘要等，这些日志信息存储在路由器或特定地方数据库中。在攻击发生时或者攻击发生后，由追踪者根据攻击数据包特性与数据库存储的某路由器节点日志信息分析比较，如果匹配，表明攻击数据流经该节点，如此一级一级的追踪。优点是追踪速度快，能实现单包追踪，可以进行事后追踪。缺点是计算负载，管理负载，存储负载都较高。

3.数据包标记

路由器将追踪所需的信息标记在转发的报文中，当受害者收到大量的攻击包时，可以根据攻击包中的标记包提供的路径信息重构出攻击路径。优点是开销低，网络负荷低，兼容性好。

路径。优点是开销低，网络负荷低，兼容性好。