什么是 IP 欺骗？

什么是 IP 欺骗?

伪装源地址的 IP 欺骗包（Spoofed IP packets）通常用于攻击中，它的目的是在攻击中避免源地址被侦测得到。

IP 欺骗是创建具有修改源地址的 Internet 协议 (IP) 数据包，以便隐藏发送者的身份、冒充另一个计算机系统或两者兼而有之。 这是一种经常被坏人用来对目标设备或周围基础设施发起 DDoS 攻击的技术。

发送和接收 IP 数据包是联网计算机和其他设备进行通信的主要方式，是现代互联网的基础。 所有 IP 数据包都包含一个位于数据包主体之前的标头，并包含重要的路由信息，包括源地址。 在普通数据包中，源IP地址是数据包发送者的地址。 如果数据包被欺骗，源地址将会被伪造。

IP 欺骗类似于攻击者发送一个数据包给某个人，这个人会拿到一个错误的返回地址。如果收到数据包的这个人想要停止发件人发送数据包，通过阻止虚假地址的数据包的手段是起不到作用的，因为地址相当容易更改。相关地，如果接收方想要响应返回地址，他们的响应包会去到别的地方，而不是真正的发送者。 伪装数据包地址的能力是许多 DDoS 攻击利用的核心漏洞。

DDoS 攻击通常会利用欺骗，目的是用流量淹没目标地址设备，同时掩盖恶意源地址的身份，阻止缓解措施。 如果源 IP 地址被伪造并不断随机化，阻止恶意请求变得相当困难。 IP 欺骗还使执法和网络安全团队难以追踪攻击的肇事者。

欺骗还用于伪装成另一个设备，以便将响应发送到该目标设备。 NTP 放大和 DNS 放大等容量攻击就是利用这个漏洞。 修改源 IP 的能力是 TCP/IP 设计所固有的，使其成为一个持续的安全问题。

与 DDoS 攻击相关联的是，欺骗攻击还可以伪装成另一个设备，以避开身份验证，获得访问或“劫持”用户会话的权限。

如何防止 IP 欺骗(包过滤)

虽然无法防止 IP 欺骗，但可以采取措施阻止欺骗数据包渗入网络。 一种非常常见的欺骗防御措施是入口过滤，在 BCP38（最佳通用实践文档）中进行了概述。 入口过滤是一种数据包过滤形式，通常在网络边缘（network edge）设备上实现，它检查传入的 IP 数据包并查看它们的源头。 如果这些数据包上的源头与它们的来源不匹配，或者它们看起来很可疑，则数据包将被拒绝。 一些网络还将实施出口过滤，它查看离开网络的 IP 数据包，确保这些数据包具有合法的源头，以防止网络中的某人使用 IP 欺骗发起出站恶意攻击。

Reference

[1] What is IP spoofing? https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/