为了防止数据在网络中无限循环，名为存活时间（Time to live，TTL）或跳数限制（hop limit）的机制限定了数据包的寿命。当TTL=0，数据包将被丢弃。大多数系统发送IP包时都是从TTL=64开始，如果该数据包抵达你时TTL=46，那么你和发送者之间经过了18跳（64-18=46）。在对GitHub发动大规模DDoS攻击时，攻击者劫持了百度的JS文件。如图所示，百度服务器所发送数据包的TTL=64，第一次抵达用户浏览器时TTL=42（不同位置这一数字会有所不同），经过了22跳，用户发回的请求包的TTL值也是64，但接下来的响应包的TTL值非常怪异，显然有个中间人设备注入了伪造包。如何识别这个中间人设备的IP？你可以借助Traceroute工具。利用该工具发送TTL=1，2，3....的请求包，因为TTL的值很小，在到达目的地前跳数就会变为零被沿路的路由器抛弃，而此时路由器会使用其IP地址发回时间超时的报文，如果某两跳之间发现了伪造包，那么注入设备应该就藏在其中。一位研究人员用定制Traceroute工具测试发现，注入设备位于第11跳和第12跳之间，通过查询第12跳设备的IP地址，作者发现它位于中国联通骨干网，因此得出了某政府与此有关的结论。