【云舒的回答(57票)】:

又被刺总邀请了，必须得努力回答一个啊。

挖掘SYN攻击者的真实IP地址，我的主要思路是统计每个IP发送的SYN报文的个数，然后反向分析TTL值。发送报文数量越多的，越有可能是真实的IP地址。将TOP 1000的源IP摘出来，在被攻击的目标上去ping他们，看TTL值和发过来的SYN报文TTL指相差有多少。需要注意的是，这里对比的是TTL减少的跳数，而不是绝对的TTL值，因此需要你猜测原始TTL是多少。这样过滤出一些IP地址之后，再做一些扫描探测，看看有没有能被攻击者入侵的漏洞。这种方式有一些效果，但是如果随机了原始TTL就不靠谱了，精细的SYN攻击在不求助政府、cncert之类的力量比较难追踪。

我曾经遇到一次攻击，这种方式最终找出了部分真实IP地址，可惜某些部门不给力，就不多说了。

原理我也大致描述一下。IP地址可以伪造，但是路由路径是不能伪造的。本身IP是1.2.3.4，到攻击目标经过4跳，但是伪装成的那个IP 2.3.4.5可能需要经过8跳。这样攻击报文TTL降低了4，而反查的TTL则会降低8。如果没有伪造源IP或者伪造的是同一个子网的IP，TTL的跳数则会非常匹配。

关于攻击者为什么有时候不伪造源IP，有2个原因。1个原因是某些ISP在路由器上做了限制，干掉了伪造报文。第2个原因？呵呵，佛曰不可说不可说。

【郑心航的回答(3票)】:

任何DDOS真正攻击者的IP是基本是不可能发现的。

发起攻击的人手头都是操纵着一个庞大的僵尸网络。如何获取僵尸网络的肉机，这在黑客圈已经是一个成熟的产业链。

某网络专家所谓的方法，其实至多只能追溯到某个受到遥控的肉机上。想要进一步找到遥控肉机的远程IP地址，恐怕得联系其所在的ISP才行。且不论你没有国安的权力和技术力量，就算有，黑客的僵尸网络可不是吃素的。整个命令控制链都是经过多重路径和加密，往往是在全球的多个ISP网络绕一圈。

所以如果你动用不了像NSA或FBI这样的机构帮你，还是做做社会工程，考虑一下从商业利益的角度，谁能从攻击你的系统中获益。发动大规模DDOS攻击的，在这年头肯定还是要有投入，发动者肯定期待回报的。

【张浩浩的回答(0票)】:

1一个设想: 分析syn报文的特征，大致能看出来是什么僵尸工具。加入僵尸网络，分析出控制机，在再从控制机得到被控制的机器。这时可能是二级控制机。

2

传统的实现是全网分析netflow。

【李海涛的回答(0票)】:

1.如果真的是普通的DOS攻击,很容易抓包,或者netflow就能看到攻击者源IP.

2.如果是DDOS,会产生大量的流量,以至于拥塞整个Internet出口.这些攻击源如果是真是的ip地址.就可以通过上面的方式,或F5,或找你的ISP供应商进行查询和拦截.

3.对于伪造的源地址的DDOS攻击.是非常简单的.随机伪造源地址,去访问你的服务器,这样你很难抓到到底哪个才是攻击你的人.很可能无功而返.

原文地址:知乎