一、IP欺骗(IP Spoofing)
1. 原理
IP欺骗是指攻击者伪造数据包的源IP地址,伪装成受信任的主机(如内部服务器或合法用户),以绕过身份验证或发起拒绝服务攻击(如DDoS)。
攻击流程:
【1】伪造IP包头:攻击者修改数据包的源IP,使其看起来来自可信IP(如公司内网IP)。
【2】绕过访问控制:防火墙或服务器误认为请求来自合法用户,允许访问。
【3】攻击实施:可能用于DDoS(如SYN Flood)、会话劫持或中间人攻击。
通过编程的方法可以随意改变发出的包的 IP地址,但工作在传输层的 TCP 协议是一种相 对可靠的协议,不会让黑客轻易得逞。由于TCP 是面向连接的协议,所以在双方正式传输数 据之前,需要用“三次握手”来建立一个值得信赖的连接。假设是 hosta和 hostb两台主机进行 通信, hostb 首先发送带有 S Y N标志的数据段通知hosta建立 TCP 连接, TCP 的可靠性就是由 数据包中的多位控制字来提供的,其中最重要的是数据序列 S Y N和数据确认标志A CK 。 B将 TCP 报头中的 S Y N设为自己本次连接中的初始值 (ISN)。假如想冒充 hostb 对 hosta进行攻击,就要先使hostb 失去工作能力。也就是所谓的拒绝服 务攻击,让 hostb瘫痪。
2. 特点
3. 防御措施
【1】入口过滤(Ingress Filtering):
网络设备(如路由器)丢弃源IP不属于合法范围的包(如ISP应屏蔽私有IP外发的包)。
【2】加密与认证:
使用IPSec或HTTPS确保通信双方身份真实。
【3】SYN Cookie防护:
服务器应对SYN Flood攻击时,不直接分配资源,而是通过Cookie验证连接。
虽然 IP 欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻 击可以删除UNIX 中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使 得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部 IP 的 报文。
二、DNS欺骗(DNS Spoofing)
1. 原理
DNS欺骗是攻击者篡改DNS响应,将域名解析到恶意IP(如伪造的银行网站),诱导用户访问钓鱼站点。
攻击流程:
【1】监听或污染DNS请求:攻击者在局域网或DNS服务器上截获查询(如“www.bank.com”)。
【2】返回伪造响应:提供虚假IP(如攻击者控制的钓鱼网站IP)。
【3】用户被重定向:浏览器访问恶意网站,泄露账号密码。
DN S 欺骗首先是冒充域名服务器,然后把查询的 IP 地址设为攻击者的 IP地址,这样的话, 用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是D N S欺骗的 基本原理。 D N S欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
2. 特点
3. 防御措施
【1】入口过滤(Ingress Filtering):
网络设备(如路由器)丢弃源IP不属于合法范围的包(如ISP应屏蔽私有IP外发的包)。
【2】加密与认证:
使用IPSec或HTTPS确保通信双方身份真实。
【3】SYN Cookie防护:
服务器应对SYN Flood攻击时,不直接分配资源,而是通过Cookie验证连接。
案例1:IP欺骗——伪造内网IP入侵企业系统
场景描述:
某公司内部系统仅允许IP段192.168.1.0/24访问,攻击者伪造该段IP绕过防火墙。
攻击过程:
【1】攻击者扫描发现公司VPN的IP白名单规则。
【2】伪造数据包源IP为192.168.1.100(合法内网IP),发送登录请求。
【3】防火墙放行,攻击者获取敏感数据。
防御措施:
双因素认证(2FA):即使IP合法,仍需短信/令牌验证。
网络分段:核心系统仅允许特定MAC地址访问(结合ARP防护)。
案例2:DNS欺骗——公共Wi-Fi下的钓鱼攻击
场景描述:
用户在咖啡店连接Wi-Fi,访问“www.paypal.com”时被导向假冒网站。
攻击过程:
【1】攻击者劫持局域网内DNS请求,拦截“www.paypal.com”查询。
【2】返回虚假IP(如1.2.3.4),指向自建的钓鱼网站。
【3】用户输入账号密码后,攻击者窃取信息。
防御措施:
浏览器检查HTTPS证书:钓鱼网站通常无有效证书(地址栏显示“不安全”)。
使用VPN:加密所有流量,避免DNS劫持。
手动输入重要域名:如“https://www.paypal.com”而非直接搜索。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
