什么是IP 欺騙米间?
IP 欺騙是指創(chuàng)建源地址經(jīng)過修改的 Internet 協(xié)議 (IP) 數(shù)據(jù)包,目的要么是隱藏發(fā)送方的身份膘侮,要么是冒充其他計算機系統(tǒng)屈糊,或者兩者兼具。惡意用戶往往采用這項技術(shù)對目標(biāo)設(shè)備或周邊基礎(chǔ)設(shè)施發(fā)動?DDoS 攻擊琼了。
發(fā)送和接收IP 數(shù)據(jù)包既是聯(lián)網(wǎng)計算機與其他設(shè)備開展通信的主要途徑另玖,又是現(xiàn)代 Internet 的基礎(chǔ)。所有 IP 數(shù)據(jù)包都包含標(biāo)頭表伦,標(biāo)頭位于數(shù)據(jù)包主體之前,其中包含大量重要路由信息慷丽,包括源地址蹦哼。在常規(guī)數(shù)據(jù)包中,源IP 地址是指數(shù)據(jù)包發(fā)送方的地址要糊。如果數(shù)據(jù)包遭到冒用纲熏,勢必會偽造源地址。
IP 欺騙好比攻擊者將數(shù)據(jù)包發(fā)送給返回地址錯誤的用戶锄俄。如果該用戶在收到數(shù)據(jù)包后想要阻止發(fā)送方發(fā)送數(shù)據(jù)包局劲,那么阻止偽造地址發(fā)出的所有數(shù)據(jù)包將無濟于事,因為返回地址很容易更改奶赠。由此推斷鱼填,如果接收方希望對返回地址做出響應(yīng),響應(yīng)數(shù)據(jù)包也無法送達(dá)真實發(fā)送方毅戈。數(shù)據(jù)包地址能被偽造成為一個核心漏洞苹丸,很多 DDoS 攻擊都利用了這個漏洞愤惰。
DDoS 攻擊通常會利用欺騙技術(shù),其目的在于用流量擊垮目標(biāo)赘理,同時掩飾惡意來源的身份并規(guī)避緩解措施宦言。如果源 IP 地址經(jīng)過篡改并采用連續(xù)隨機模式,那么惡意請求很難阻止商模。另外奠旺,采用 IP 欺騙技術(shù)后,執(zhí)法部門和網(wǎng)絡(luò)安全團隊很難追蹤到攻擊行為人施流。
欺騙也可用于冒充其他設(shè)備响疚,使得響應(yīng)被發(fā)送到該目標(biāo)設(shè)備。NTP 放大和DNS 放大等容量耗盡攻擊正是利用了這一漏洞嫂沉。修改源IP 是TCP/IP?設(shè)計的固有功能稽寒,也是一項長期安全隱患。
哪怕并非用于發(fā)動DDoS 攻擊趟章,也可以實施欺騙技術(shù)杏糙,偽裝成其他設(shè)備,從而逃避身份驗證并獲取或“劫持”用戶的會話蚓土。
如何防范IP 欺騙(數(shù)據(jù)包過濾)
雖然無法防止IP 欺騙宏侍,但可以采取措施阻止欺騙數(shù)據(jù)包滲入網(wǎng)絡(luò)。一種非常常見的欺騙防御措施是入口過濾蜀漆,在 BCP38(最佳通用實踐文檔)中進(jìn)行了概述谅河。入口過濾是一種數(shù)據(jù)包過濾形式,通常在網(wǎng)絡(luò)邊緣設(shè)備上實現(xiàn)确丢,它檢查傳入的IP 數(shù)據(jù)包并查看它們的源頭绷耍。如果這些數(shù)據(jù)包上的源頭與其來源不匹配,或者它們看起來很可疑鲜侥,則數(shù)據(jù)包將被拒絕褂始。一些網(wǎng)絡(luò)還將實施出口過濾,它查看離開網(wǎng)絡(luò)的 IP 數(shù)據(jù)包描函,確保這些數(shù)據(jù)包具有合法的源頭崎苗,以防止網(wǎng)絡(luò)中的某人使用 IP 欺騙發(fā)起出站惡意攻擊。
