ip地址欺騙

   IP地址欺騙是指行動產生的IP數據包為偽造的源IP地址，以便冒充其他系統或發件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。

定義：指行動產生的IP數據包為偽造的源IP地址，以便冒充其他系統或發件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。防火墻可以識別這種ip欺騙。

按照Internet Protocol(IP)網絡互聯協議，數據包頭包含來源地和目的地信息。 而IP地址欺騙，就是通過偽造數據包包頭，使顯示的信息源不是實際的來源，就像這個數據包是從另一臺計算機上發送的。

 

易受攻擊的服務

key1460$0$ · 以IP地址認證作為用戶身份的服務

· X window system

· 遠程服務系列（如遠程訪問服務）

應用方法

在網絡安全領域，隱藏自己的一種手段就是IP欺騙——偽造自身的IP地址向目標系統發送惡意請求，造成目標系統受到攻擊卻無法確認攻擊源，或者取得目標系統的信任以便獲取機密信息。

這兩個目的對應著兩種場景：

場景一，常用于DDoS攻擊（分布式拒絕攻擊），在向目標系統發起的惡意攻擊請求中，隨機生成大批假冒源IP，如果目標防御較為薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達到攻擊者隱藏自身的目的。

這類場景里一種很有意思的特殊情景來自于“反射”式DDoS攻擊，它的特點來自于利用目標系統某種服務的協議缺陷，發起針對目標系統輸入、輸出的不對稱性——向目標發起吞吐量相對較小的某種惡意請求，隨后目標系統因其協議缺陷返回大量的響應，阻塞網絡帶寬、占用主機系統資源。這時如果攻擊者的請求使用真實源地址的話，勢必要被巨大的響應所吞沒，傷及自身。這樣，攻擊者采取IP欺騙措施就勢在必行了。

場景二，原本A主機信任B主機，也就是B可以暢通無阻地獲取A的數據資源。而惡意主機C為了能同樣獲取到A的數據，就需要偽裝成B去和A通信。這樣C需要做兩件事：第一、讓B“把嘴堵上”，不再向A吐請求，比如向B主機發起DoS攻擊（拒絕服務攻擊），占用B的連接使其無法正常發出網絡包；第二、偽裝成B的IP和A交互。

防御方法

IP欺騙的防范，一方面需要目標設備采取更強有力的認證措施，不僅僅根據源IP就信任來訪者，更多的需要強口令等認證手段；另一方面采用健壯的交互協議以提高偽裝源IP的門檻。

有些高層協議擁有獨特的防御方法，比如TCP（傳輸控制協議）通過回復序列號來保證數據包來自于已建立的連接。由于攻擊者通常收不到回復信息，因此無從得知序列號。不過有些老機器和舊系統的TCP序列號可以被探得。