了解并缓解 IP 欺骗攻击

欺骗是黑客用来未经授权访问计算机或网络的一种网络攻击，IP 欺骗是其他欺骗方法中最常见的欺骗类型。通过 IP 欺骗，攻击者可以隐藏 IP 数据包的真实来源，使攻击来源难以知晓。一旦访问网络或设备/主机，网络犯罪分子通常会挖掘其中的敏感数据，利用计算机，它们可以变成僵尸，并可用于发起拒绝服务 (DoS)攻击。

什么是 IP 欺骗？

IP 地址用于互联网上设备之间的通信。网络犯罪分子使用虚假的源 IP 地址来隐藏和冒充另一个系统。本质上使目标系统更难检测到。此类攻击的目的是窃取敏感数据，用恶意软件或病毒感染您的计算机，甚至使您的服务器崩溃。

IP 欺骗的工作原理

那么，让我们深入了解 IP 欺骗的工作原理。IP 地址是一系列数字，用于在互联网上识别您的设备，每个连接到互联网的设备都有一个 IP 地址，通过使用它，它们可以交换数据。下面是 IP 标头数据包的样子

IP 欺骗利用来源，伪造数据包内的来源，类似地，这就像在邮箱中的信封上放置假的回信地址。大多数情况下，IP 数据包在到达目的地时会经过多个中间设备或路由器，而这些设备或路由器根本不检查源地址。

在下面的例子中，您可以看到网络攻击者已成功将数据包的源 IP 从 1.1.1.1 更改为 3.3.3.3（更改的 IP）。

现在，假设有人想要破坏并完全切断他们的互联网服务，他们可以向受害者发送带有虚假源地址的数据包，数据包数量如此之多，以至于受害者没有资源来处理合法数据包。攻击者可以在许多数据包中使用许多不同的虚假源地址，而且通常无法追溯攻击者的来源以阻止受害者的攻击，更糟糕的是，攻击者可以征用中间节点来放大攻击，方法是触发该节点向受害者发送非常大的数据包，这需要更多的资源来处理，如下图所示。

IP 欺骗的类型

以下三种是最常见的 IP 欺骗类型

1. 分布式拒绝服务（DDoS）攻击

分布式拒绝服务 (DDoS) 攻击是最常见的网络攻击，它使用欺骗方法，本质上是目标主机、服务或网络充斥着互联网流量。

DDoS 攻击的主要特征

1. 基于流量的攻击：其目的是使目标主机的带宽饱和。其中一些方法是执行 ICMP 洪水、UDP 洪水和其他欺骗性数据包洪水。攻击以每秒比特数 (bps) 为单位进行测量。
2. 协议攻击：这些攻击利用网络协议中的弱点。例如，在 TCP 中，它会使用 SYN 洪水。碎片数据包攻击是另一个例子，其中数据包被碎片化并重新组装以逃避安全控制并发起攻击。死亡之 Ping 和 Smurf DDoS 是其他一些攻击。这些攻击以每秒数据包 (pps) 为单位进行测量。
3. 应用层攻击：这些攻击针对特定应用程序或服务，使攻击看起来像合法流量。示例包括 HTTP 洪水、GET/POST 洪水和 Slowloris。这些攻击以每秒请求数 (rps) 来衡量。

2. 掩盖僵尸网络设备

IP 欺骗可用于通过掩饰僵尸网络来访问计算机。一旦僵尸网络获得对 PC 的访问权限，犯罪者就会利用它从单一来源进行控制。受僵尸网络影响的 PC 会代表攻击者进行恶意攻击。

3.中间人攻击

中间人攻击用于更改数据包并在原始发送者或接收者不知情的情况下传输它们。如果攻击者伪造 IP 地址并获得个人帐户的访问权限，他们就可以跟踪通信的任何方面。一旦获得访问权限，个人信息很容易被盗，犯罪者可以将用户引导到虚假网站等等。随着时间的推移，黑客收集了大量可以使用或出售的机密信息——这意味着中间人攻击比其他攻击更有价值、更有利可图。

如何检测 IP 欺骗

网络监控工具可用于分析端点的流量。虽然最终用户很难检测到 IP 欺骗攻击，但源 IP 的更改是在网络层（即开放系统互连通信模型的第 3 层）中完成的。由于修改是在数据包级别完成的，因此不会留下任何更改的迹象。通常，欺骗的连接请求从外部看起来是真实的。让我们讨论一下您可以缓解此类攻击的方法：

• 数据包过滤： 用于分析数据包，检查数据包的 IP 地址与访问控制列表 (ACL) 上详细的 IP 地址之间是否存在不一致，用于检测被篡改的数据包。
• 入口过滤： 检查传入数据包以评估源 IP 报头是否与允许的源地址匹配。如果检查失败，则丢弃数据包。
• 出口过滤： 验证出站数据包的源地址是否与组织网络的源地址不匹配。这可以防止内部用户发起 IP 欺骗攻击。

如何防范 IP 欺骗

IP 欺骗的工作方式可以隐藏攻击者的身份，因为很难追溯到其原始来源。但是，我们可以采取一些反欺骗措施来降低此类攻击的风险。

• 不断扫描网络以查找异常活动
• 数据包过滤机制，用于检测与组织注册网络不同的源 IP
• 验证所有 IP 地址并部署网络攻击预防工具
• 在路由器/防火墙上启用保留路径转发，以验证如果流量来自伪造的 IP 地址，是否会在接口上被阻止。

欺骗攻击示例

GitHub 欺骗攻击（2019 年）
2019 年 7 月，一场复杂的网络钓鱼活动针对 GitHub 用户，目的是窃取他们的登录凭据和双因素身份验证 (2FA) 代码。入侵涉及欺骗方法，攻击者冒充 GitHub 和其他知名实体，以获取用户的信任，从而泄露敏感信息。

攻击细节

1. 网络钓鱼电子邮件：攻击者发送电子邮件，声称自己来自 GitHub。电子邮件中的信息是通知用户有关可疑的登录尝试、帐户安全问题或需要更新的情况，这些情况对其帐户的安全至关重要，并敦促用户单击链接以保护其帐户。
2. 欺骗性网站： URL 链接将用户带到镜像 GitHub 登录页面的网站。现在，当用户输入其凭据时，攻击者就会获取此信息。
3. 凭证收集： 一旦用户在欺骗网站上输入其凭证和 2FA 代码，攻击者就能够收集这些信息。 这使攻击者能够未经授权访问用户的 GitHub 帐户。
4. 利用：访问 GitHub 帐户，将可能会导致大量的利用。

• 更改或删除代码存储库
• 访问包含敏感信息的私人存储库。
• 使用被盗账户在网络或组织内发起进一步攻击

结论

IP 欺骗仍然是一种普遍且危险的网络攻击类型，它允许犯罪者通过隐藏其真实身份来未经授权访问网络和系统。更改源 IP 地址并将其追溯到攻击源非常困难。正如在 GitHub 欺骗攻击中讨论的那样，攻击者使用了各种策略，这些策略有效地欺骗用户向您提供他们的敏感信息，从而导致凭证被盗、未经授权的访问和进一步的利用。

为了缓解此类攻击，我们需要采用全面的网络监控系统、数据包过滤、入口和出口过滤等工具。此外，在路由器和防火墙上启用反向路径转发等高级技术将有助于验证 IP 数据包的来源。

必须采取主动的方法来保护网络和用户免受 IP 欺骗攻击，这将降低此类攻击的风险和影响，并有助于保护敏感数据。