Cloudflare：什么是 IP 欺騙？

什么是 IP 欺騙？

IP 欺騙是指創(chuàng)建源地址經(jīng)過修改的 Internet 協(xié)議 (IP) 數(shù)據(jù)包，目的要么是隱藏發(fā)送方的身份，要么是冒充其他計算機系統(tǒng)，或者兩者兼具。惡意用戶往往采用這項技術(shù)對目標(biāo)設(shè)備或周邊基礎(chǔ)設(shè)施發(fā)動 DDoS 攻擊。

發(fā)送和接收 IP 數(shù)據(jù)包既是聯(lián)網(wǎng)計算機與其他設(shè)備開展通信的主要途徑，又是現(xiàn)代 Internet 的基礎(chǔ)。所有 IP 數(shù)據(jù)包都包含標(biāo)頭，標(biāo)頭位于數(shù)據(jù)包主體之前，其中包含大量重要路由信息，包括源地址。在常規(guī)數(shù)據(jù)包中，源 IP 地址是指數(shù)據(jù)包發(fā)送方的地址。如果數(shù)據(jù)包遭到冒用，勢必會偽造源地址。

IP 欺騙 DDoS 攻擊

IP 欺騙好比攻擊者將數(shù)據(jù)包發(fā)送給返回地址錯誤的用戶。如果該用戶在收到數(shù)據(jù)包后想要阻止發(fā)送方發(fā)送數(shù)據(jù)包，那么阻止偽造地址發(fā)出的所有數(shù)據(jù)包將無濟于事，因為返回地址很容易更改。由此推斷，如果接收方希望對返回地址做出響應(yīng)，響應(yīng)數(shù)據(jù)包也無法送達真實發(fā)送方。數(shù)據(jù)包地址能被偽造成為一個核心漏洞，很多 DDoS 攻擊都利用了這個漏洞。

DDoS 攻擊通常會利用欺騙技術(shù)，其目的在于用流量擊垮目標(biāo)，同時掩飾惡意來源的身份并規(guī)避緩解措施。如果源 IP 地址經(jīng)過篡改并采用連續(xù)隨機模式，那么惡意請求很難阻止。另外，采用 IP 欺騙技術(shù)后，執(zhí)法部門和網(wǎng)絡(luò)安全團隊很難追蹤到攻擊行為人。

欺騙也可用于冒充其他設(shè)備，使得響應(yīng)被發(fā)送到該目標(biāo)設(shè)備。NTP 放大和 DNS 放大等容量耗盡攻擊正是利用了這一漏洞。修改源 IP 是 TCP/IP 設(shè)計的固有功能，也是一項長期安全隱患。

哪怕并非用于發(fā)動 DDoS 攻擊，也可以實施欺騙技術(shù)，偽裝成其他設(shè)備，從而逃避身份驗證并獲取或“劫持”用戶的會話。

如何防范 IP 欺騙（數(shù)據(jù)包過濾）

雖然無法預(yù)防 IP 欺騙，但可以采取措施來阻止偽造數(shù)據(jù)包滲透網(wǎng)絡(luò)。入口過濾是防范欺騙的一種極為常見的防御措施，如 BCP38（通用最佳實踐文檔）所示。入口過濾是一種數(shù)據(jù)包過濾形式，通常在網(wǎng)絡(luò)邊緣設(shè)備上實施，用于檢查傳入的 IP 數(shù)據(jù)包并確定其源標(biāo)頭。如果這些數(shù)據(jù)包的源標(biāo)頭與其來源不匹配或者看上去很可疑，則拒絕這些數(shù)據(jù)包。一些網(wǎng)絡(luò)還實施出口過濾，檢查退出網(wǎng)絡(luò)的 IP 數(shù)據(jù)包，確保這些數(shù)據(jù)包具有合法源標(biāo)頭，以防止網(wǎng)絡(luò)內(nèi)部用戶使用 IP 欺騙技術(shù)發(fā)起出站惡意攻擊。