Подскажите, пожалуйста, можно ли как-то вычислить реального инициатора DDoS-атаки, если он подменяет ip отправителя (например, Spoofed SYN Flood)?
Может, по метаинформации из заголовков пакетов?
То есть, можем ли мы сказать, что эти два пакета проходили через одну сеть или маршрутизатор, значит, с большой вероятностью их инициировал один ботнет?
Есть статьи про Packet Marking, но не очень понятно, как он работает.
Получается, каждый маршрутизатор должен оставить в пакете свою метку, но как провайдеры должны это реализовать?
Спасибо!
Если злоумышленник использует ботнет для атаки, то это практически невозможно. Используя SSYNF злоумышленник подменяет свой IP также как бы это делал навороченный VPN. Как по мне и моему опыту с сетями, я считаю что это сделать возможно, но очень сложно.