什么是 IP 欺骗?
什么是 IP 欺骗?
伪装源地址的 IP 欺骗包(Spoofed IP packets)通常用于攻击中,它的目的是在攻击中避免源地址被侦测得到。
IP 欺骗是创建具有修改源地址的 Internet 协议 (IP) 数据包,以便隐藏发送者的身份、冒充另一个计算机系统或两者兼而有之。 这是一种经常被坏人用来对目标设备或周围基础设施发起 DDoS 攻击的技术。
发送和接收 IP 数据包是联网计算机和其他设备进行通信的主要方式,是现代互联网的基础。 所有 IP 数据包都包含一个位于数据包主体之前的标头,并包含重要的路由信息,包括源地址。 在普通数据包中,源IP地址是数据包发送者的地址。 如果数据包被欺骗,源地址将会被伪造。
IP 欺骗类似于攻击者发送一个数据包给某个人,这个人会拿到一个错误的返回地址。如果收到数据包的这个人想要停止发件人发送数据包,通过阻止虚假地址的数据包的手段是起不到作用的,因为地址相当容易更改。相关地,如果接收方想要响应返回地址,他们的响应包会去到别的地方,而不是真正的发送者。 伪装数据包地址的能力是许多 DDoS 攻击利用的核心漏洞。
DDoS 攻击通常会利用欺骗,目的是用流量淹没目标地址设备,同时掩盖恶意源地址的身份,阻止缓解措施。 如果源 IP 地址被伪造并不断随机化,阻止恶意请求变得相当困难。 IP 欺骗还使执法和网络安全团队难以追踪攻击的肇事者。
欺骗还用于伪装成另一个设备,以便将响应发送到该目标设备。 NTP 放大和 DNS 放大等容量攻击就是利用这个漏洞。 修改源 IP 的能力是 TCP/IP 设计所固有的,使其成为一个持续的安全问题。
与 DDoS 攻击相关联的是,欺骗攻击还可以伪装成另一个设备,以避开身份验证,获得访问或“劫持”用户会话的权限。
如何防止 IP 欺骗(包过滤)
虽然无法防止 IP 欺骗,但可以采取措施阻止欺骗数据包渗入网络。 一种非常常见的欺骗防御措施是入口过滤,在 BCP38(最佳通用实践文档)中进行了概述。 入口过滤是一种数据包过滤形式,通常在网络边缘(network edge)设备上实现,它检查传入的 IP 数据包并查看它们的源头。 如果这些数据包上的源头与它们的来源不匹配,或者它们看起来很可疑,则数据包将被拒绝。 一些网络还将实施出口过滤,它查看离开网络的 IP 数据包,确保这些数据包具有合法的源头,以防止网络中的某人使用 IP 欺骗发起出站恶意攻击。
Reference
[1] What is IP spoofing? https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/