IP地址欺骗

维基百科,自由的百科全书
跳转至: 导航搜索
IP地址欺骗的示例情景

计算机网络里面,IP地址欺骗IP欺骗是指带有假的源IP地址IP协议分组(数据报),目的是隐藏发送方或冒充另一个计算系统身份。[1] 使发送方可以保持匿名的一种技术是使用代理服务器

背景[编辑]

通过互联网网络和许多其他计算机网络发送数据的基本协议是IP协议。该协议规定,每个IP数据报必须有一个包括数据包发送者IP地址的报头。源IP地址通常是数据报发送的地址,但报头中的发送者地址可以被改变,这样对收件人看来,该数据报来自另一个源。该协议要求接收计算机发回对源地址的响应,因此,欺骗主要用在当发送方期望网络响应或不关心响应的情况。

应用[编辑]

IP欺骗涉及使用一个受信任的IP地址,被网络入侵者用于突破网络安全措施,如基于IP地址的身份验证。这种类型的攻击在存在信任关系的机器之间最为有效。例如,在一些企业网络中,内部系统相互信任是很常见的,这样用户就可以在没有用户名或密码的情况下登录,因为它们已经链接了内部网络上的另一台机器(因此必须已经登录)。通过欺骗来自可信机器的连接,同一网络上的攻击者可以不经身份验证访问目标机器。 IP欺骗最常用在拒绝服务攻击,其目的是使目标接受压倒性的流量以过载,攻击者不关心接收到攻击数据报的响应。伪造IP地址的数据报过滤更困难,因为每个伪造数据报是来自一个不同的地址,他们隐藏攻击的真正来源。使用欺骗方法的拒绝服务攻击通常是随机选择整个IP地址空间的任意地址,但更复杂的欺骗机制可以避免选择到不可路由的地址或IP地址空间的未使用部分。大型僵尸网络的增殖使欺骗手段在拒绝服务攻击中并不重要,但攻击者通常可以选择欺骗可以作为工具,如果他们使用它,依赖的攻击包中的源IP地址的合法性来防御拒绝服务攻击会遇上很大麻烦。后向散射是一种用于观察拒绝服务攻击活动的技术,依赖于攻击者使用IP欺骗的有效性。

合法用途[编辑]

伪造IP数据报并不一定总是用于恶意企图而无可辩驳:在网站性能测试,成百上千的“用户”(虚拟用户)可能被创建,每个都在执行测试网站的测试脚本,以模拟当系统上线和大量用户立刻登录时会发生什么事。 由于每个用户都会有自己的IP地址,商业测试产品(如HP LoadRunner英语HP LoadRunnerWebLOAD等)可以使用IP欺骗,同样允许每个用户自己的“返回地址”。 牢不可破的服务器的欺骗和嗅探行为是用来在不暴露服务器IP地址绑定、IP协议栈的情况下记录来电信息的。一台计算机绑定到IP地址,并暴露在黑客的风险,而欺骗和嗅探服务器实际发送和接收数据。带有IP地址的服务器通常是从只读媒体定期重启因此长期无法破解的。

易受IP欺骗的服务[编辑]

易受IP欺骗的配置和服务:

欺骗攻击防御手段[编辑]

数据报过滤是一种防御IP欺骗攻击的手段。对网络的网关通常执行入口过滤英语Ingress filtering,用内网的源地址来阻止外网的数据包。这可以防止外部攻击者欺骗内部机器的地址。理想情况下,网关也将对传出的数据包执行出口过滤英语Egress filtering,用外网的源地址阻止内网数据包。这样可以防止网络内的攻击者对来自外部机器进行IP欺骗攻击并进行过滤。 另外建议设计网络协议和服务,使他们不依赖于IP源地址进行身份验证。

上层[编辑]

一些上层协议提供了自己的防御IP欺骗攻击。例如,TCP协议(TCP)使用与远程机器协商的序列号,以确保到达的数据报是已建立连接的一部分。由于攻击者通常不能看到任何响应数据报,必须猜测序列号以劫持连接。然而,在许多旧的操作系统和网络设备中可以预测TCP序列号。

其他定义[编辑]

术语欺骗有时也用来指“'报头伪造”,在电子邮件Usenet数据报头插入虚假或误导性信息。伪造的报头用于误导收件人或网络应用程序,以了解消息的来源。这是濫發電子訊息Sporgery英语Sporgery的一种常见的技术,某些人想掩盖他们的消息来源来避免被追踪。

参见[编辑]

参考书目[编辑]

  1. ^ Tanase, Matthew. IP Spoofing: An Introduction. Symantec. 2003年3月11日 [2015年9月25日]. 

外部链接[编辑]