IP欺骗攻击及防御

IP 欺骗简介、易受攻击的服务和应用方法摘自百度百科。

1 IP 欺骗简介

指行动产生的 IP 数据包为伪造的源 IP 地址，以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式，骇客使用一台计算机上网，而借用另外一台机器的 IP 地址，从而冒充另外一台机器与服务器打交道。防火墙可以识别这种 IP 欺骗。

按照 Internet Protocol(IP) 网络互联协议，数据包头包含来源地和目的地信息。 而 IP 地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机上发送的。

2 易受攻击的服务

1. 以 IP 地址认证作为用户身份的服务
2. X window system
3. 远程服务系列（如远程访问服务）

3 应用方法

在网络安全领域，隐藏自己的一种手段就是 IP 欺骗——伪造自身的 IP 地址向目标系统发送恶意请求，造成目标系统受到攻击却无法确认攻击源，或者取得目标系统的信任以便获取机密信息。

这两个目的对应着两种场景：

• 场景一：常用于 DDoS 攻击（分布式拒绝攻击），在向目标系统发起的恶意攻击请求中，随机生成大批假冒源 IP，如果目标防御较为薄弱，对收到的恶意请求也无法分析攻击源的真实性，从而达到攻击者隐藏自身的目的。

  这类场景里一种很有意思的特殊情景来自于 “反射” 式 DDoS 攻击，它的特点来自于利用目标系统某种服务的协议缺陷，发起针对目标系统输入、输出的不对称性——向目标发起吞吐量相对较小的某种恶意请求，随后目标系统因其协议缺陷返回大量的响应，阻塞网络带宽、占用主机系统资源。这时如果攻击者的请求使用真实源地址的话，势必要被巨大的响应所吞没，伤及自身。这样，攻击者采取 IP 欺骗措施就势在必行了。

• 场景二：原本 A 主机信任 B 主机，也就是 B 可以畅通无阻地获取 A 的数据资源。而恶意主机 C 为了能同样获取到 A 的数据，就需要伪装成 B 去和 A 通信。这样C需要做两件事：第一、让 B “把嘴堵上”，不再向 A 吐请求，比如向 B 主机发起 DoS 攻击（拒绝服务攻击），占用 B 的连接使其无法正常发出网络包；第二、伪装成 B 的 IP 和 A 交互。

4 防御

1. 防范基本的 IP 欺骗

   大多数路由器的内置的欺骗过滤器。过滤器的最基本形式是，不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。从网络内部发出的到本网另一台主机的数据包从不需要流到本网络之外去。因此，如果一个来自外网的数据包，声称来源于本网络内部，就可以非常肯定它是假冒的数据包，应该丢弃。这种类型的过滤叫做入口过滤，他保护单位的网络不成为欺骗攻击的受害者。

   另一种过滤类型是出口过滤，用于阻止有人使用内网的计算机向其他的站点发起攻击。路由器必须检查向外的数据包，确信源地址是来自本单位局域网的一个地址，如果不是，这说明有人正使用假冒地址向另一个网络发起攻击，这个数据包应该被丢弃。

2. 防范源路由欺骗

   保护自己或者单位免受源路由欺骗攻击的最好方法是通过 IP source-route 命令设置路由器禁止使用源路由。事实上人们很少使用源路由做合法的事情，因而阻塞这种类型的流量进入或者离开网络通常不会影响正常额业务。

3. 防范信任关系欺骗

   保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系，但这并不是最佳的解决方案。不过可以通过做一些事情使信任关系的暴露达到最小。 首先，限制拥有信任关系的人员。相比控制建立信任关系的机器数量，决定谁真正需要信任关系更加有意义。

参考：

1. IP 欺骗攻击的原理、实现与防范
2. IP 欺骗技术和防范方法
3. SYN Flood 和 IP spoofing(IP欺骗)的攻击基本原理