什么是IP 欺骗以及如何防范？( 二 ) _IP

文章插图

恶意用户会利用 DNS 欺骗来渗透网络，将与 DNS 关联的域名更改为另一个 IP 地址。至此，恶意攻击者可以进行任意方式的攻击，恶意软件感染是最常见的一种，通过将流量从合法来源转移到恶意来源而避免被检测到，导致更多的机器感染并创建僵尸网络以有效地执行 DDoS 攻击。
IP 地址欺骗在 DNS 欺骗之后，攻击者将执行多个IP 地址欺骗，以帮助混淆网络中的攻击源。这通常一个随机化的过程，在这个过程中，IP 地址随机变化，这使得攻击源难以检测和追踪。这种网络级攻击使得用户无法检测，同时也难倒了许多服务器端专家。
ARP中毒ARP 欺骗（或“中毒”）是进行 DDoS 攻击的另一种方式。它结合了掩蔽僵尸网络和 IP 欺骗，但较之复杂得多。
ARP中毒是指通过针对局域网 (LAN) 并发送恶意ARP数据包来更改MAC表中设置的 IP 地址。这是攻击者一次性攻击大量计算机的简便方法。ARP 中毒的目标是操纵受感染的计算机引导所有网络流量，攻击者可以通过他们的计算机选择进行 DDoS 或 MITM 攻击。
3.MITM攻击中间人 (MITM) 攻击则更加复杂、高效且更具危害性。
通过在数据到达用户连接的服务器之前拦截，攻击者可以使用虚假网站与用户进行交互以窃取信息。在MITM 攻击中，所涉及的两方可能会觉得通信正常，但在消息到达目的地之前，中间人就非法修改或访问了消息。

文章插图

一旦攻击者通过欺骗 IP 地址获得对个人通信帐户的访问权限，就可以跟踪该通信的任何方面：窃取信息、将用户引导到虚假网站等。
MITM 攻击依赖于 IP 欺骗，因为需要在用户不知情的情况下进行信息的获取和拦截，黑客甚至可以长期收集数据并将其出售给他人。
IP欺骗的危害性IP 欺骗在低网络级别出现，几乎每个互联网上的用户都可能受到威胁。且IP欺骗通常难以察觉，这意味着用户不会有任何警惕的迹象，因此可能会交出敏感信息。
此外，攻击者的主要目标往往涉及关键业务，例如安全系统和防火墙，这就是企业这么重视网站安全的原因。企业不仅需要足够强大的安全功能来缓解攻击，还需要确保当前网络下用户的警惕性，避免被攻击者趁虚而入。
IP 欺骗的合法用途上文我们提到，IP欺骗难以控制是由于它的合法性：其合法用途具有一定价值和无可替代性。
例如，在网站性能测试中，需要创建成百上千的“用户”（虚拟用户）执行测试网站的测试脚本，以模拟当系统上线和大量用户立刻登录时的预发情况。由于每个用户都会有自己的IP地址，商业测试产品可以使用IP欺骗，允许每个用户自己的“返回地址” 。
一些公司还将在与系统漏洞无关的模拟练习中使用 IP 欺骗。例如，通过创建数千个 IP 地址来群发邮件；使用 IP 欺骗来模拟用户注册测试结果。也就是说，任何需要模拟许多用户的情况都可能会用到 IP 欺骗。
如何防止 IP 欺骗每起网络攻击事件平均给企业造成200,000美元的损失。由于 IP 欺骗是最容易发起的攻击之一，也是最具破坏性的攻击之一，因此加强IP欺骗的防范是有意义的。

禁止基于IP的信任关系。IP欺骗的原理是冒充被信任主机的IP地址，这种信任关系建立在基于IP地址的验证上。如果禁止IP地址的信任关系，不允许R+类远程调用命令的使用，删除rhosts文件，并且清空/etc/hosts.equiv文件，使所有用户通过其他远程方式（如Telnet）等进行远程访问，可以有效防止IP欺骗。
安装过滤路由器。如果需要通过路由器接入Internet，可以利用路由器进行过滤。确信只有用户的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN之外的主机要慎重处理。通过对信息包的监控来检查IP欺骗攻击是非常有效的方法之一，使用监控工具检查外接口的上包情况，如果发现两个地址都是本地域地址，就意味着有人要试图攻击，而这种监控正建立在IP地址溯源之上。