侵入を試みているハッカーまたはネットワークまたはシステムへの侵入に成功したハッカーの起源を検出する方法

原則として、これは実りのない努力です。

ハッカーが自分のホームIPまたは直接追跡可能な任意のサーバーからログインすることは非常にまれです。ハッカーが以前にハッキングしたターゲットを将来の攻撃の出発点として使用することははるかに一般的です。多くの場合、攻撃者は他のリレー（IRCバウンサーまたはパブリックIRCネットワーク）など）を使用して、感染したサーバーにコマンドをリレーします。

多くの場合、攻撃が開始されたサーバーまで攻撃を追跡できますが、それはほぼ間違いなく加害者に属しません。理論的には、thatサーバーからログを取得し、ホップバイホップで攻撃を追跡することができます。しかし、実際には、これは決して起こりません。多くの場合、攻撃は政治的な境界を越えて、この種の協力を事実上不可能にします。さらに、元のIPを追跡できたとしても、コーヒーショップやインターネットカフェなど、直接追跡できない場所に属することがよくあります。

しかし、ログがある場合、主にそのIPに関連するすべてのトラフィックログを分析して攻撃がいつどのように発生したかを確認し、追加の攻撃コンポーネントを特定するのに役立つため、最終ホップのIPアドレスを取得すると役立ちます。あなたが逃したかもしれないこと。

これらのハッカーが捕まる方法について
あなたのトラックをカバーすることはかなり簡単なので、攻撃が実際に直接加害者にさかのぼることはめったにありません。代わりに、攻撃者は他の方法で発見されます。たとえば、IRCへの攻撃を自慢している人物の追跡、盗まれた情報の使用の分析、攻撃の名誉を奪った人物のTwitterアカウントの特定、元の友人や情報提供者による単純な古いスニッチ。

一般に、これはISPの支援なしでは不可能です。 IPトレースバック は、インターネット上のパケットの発信元を確実に判別するためのメソッドに付けられた名前です。パケットの送信元IPアドレスが認証されていないか、おそらくプロキシされているため。パケットのソースを見つける問題は、IPトレースバック問題と呼ばれます。 IPトレースバックは、攻撃の発信元を特定し、インターネットの保護対策を講じるための重要な機能です。最も人気のある提案されたテクニックがいくつかあります

• 確率的パケットマーキング：

  パケットがインターネットを介してルーターを通過するときに、確率的にパケットをマーキングします。ルーターは、ルーターのIPアドレスまたはパケットがルーターに到達するために通過したパスのエッジのいずれかでパケットをマークします。

• 確定的パケットマーキング：

  この手法は、ネットワークの入口で着信パケットに単一のマークを付けることを試みます。彼らのアイデアは、ランダムな確率.5で、入力インターフェイスのIPアドレスの上半分または下半分をパケットのフラグメントIDフィールドに入れ、次にアドレスのどの部分が含まれるかを示す予約ビットを設定することです。フラグメントフィールド。このアプローチを使用することにより、彼らはたった7つのパケットの後に0.99の確率で0の偽陽性を得ることができると主張しています。

他の人が述べたように、IPトレースは役に立ちません。役立つのは、アップロードされたファイルのコードや攻撃者が実行したその他のアクションなど、収集できるその他すべてのデータです。

たとえば、ダウンロードしたすべてのファイルとキーストロークをキャプチャする honeypot を実行しました。彼がインストールしたボットネットのコード、コードのダウンロード場所、および彼が使用したパスワードから、私はその人を直接追跡することができました。ルーマニアの故郷（-===-）に彼の名前、仕事用の電子メールと電話番号、そして彼のお気に入りのコーヒーショップ（ありがとう、フェイスブック）。

彼は賢いように、私のシステムで新しいユーザーを作成するときにフルネームをパスワードとして使用し、自分で設定したダウンロード場所を使用し、ソーシャルネットワーキングサイトでも使用した偽名を使用しました。削除されましたが、Googleはキャッシュしていました。

これは、法執行機関が攻撃者を捕らえるために必要な種類の情報です。