Недавно я подвергся DDoS-атаке. Это был SYN-флуд с использованием поддельных IP-адресов. Можно ли вообще отследить атаку до фактического отправляющего сервера?
Нет это эффективный ответ. Это не абсолютный ответ, поскольку существует теоретическое условие, при котором можно последовательно запросить каждое восходящее соединение к следующему, чтобы посмотреть на их полный дамп трафика и сообщить вам, откуда пришел пакет. При устойчивой атаке с большим объемом данных из одного источника можно было бы сделать это с помощью оперативных данных и фильтрации в течение определенного периода времени с помощью каждого последующего владельца системы восходящего потока.
Но для всех реалистичных и вероятных сценариев вы никогда не найдете источник какого-либо единственного поддельного пакета или даже многих из них.
IP-пакеты не содержат никакой информации о пройденном пути (за исключением заголовка TTL, но он не скажет вам, что это было изначально).
Так что практического способа сделать это нет. Вы можете связаться со своим вышестоящим провайдером, и он сможет примерно сказать, откуда он взялся, если у них большая сеть. Но если это не серьезная повторяющаяся проблема, вам не повезло.
Если вас интересует более академическая сторона дела или чем может заняться интернет-провайдер, прочтите это статья.