IP位址欺騙
此條目需要補充更多來源。 (2017年10月) |
在電腦網路裏面,IP位址欺騙或IP欺騙是指帶有假的源IP位址的IP協議分組(數據報),目的是冒充另一個計算系統身份。[1] 使發送方可以保持匿名的一種技術是使用代理伺服器。
背景
[編輯]通過互聯網網絡和許多其他電腦網路發送資料的基本協議是IP協議。該協議規定,每個IP數據報必須有一個包括封包發送者IP位址的報頭。源IP位址通常是數據報發送的地址,但報頭中的發送者地址可以被改變,這樣對收件人看來,該數據報來自另一個源。
該協議要求接收計算機發回對源地址的響應,因此,欺騙主要用在當發送方不關心響應的情況。
源IP位址僅提供有關發件人的有限信息。 它可以在發送數據包時提供有關地區,城市和城鎮的一般信息。 它不提供有關發件人或正在使用的計算機的身份的信息。
應用
[編輯]IP位址欺騙涉及使用一個受信任的IP位址,被網絡入侵者用於突破網絡安全措施,如基於IP位址的身份驗證。這種類型的攻擊在存在信任關係的機器之間最為有效。例如,在一些企業網絡中,內部系統相互信任是很常見的,這樣用戶就可以在沒有用戶名或密碼的情況下登錄,因為它們已經連結了內部網絡上的另一台機器(因此必須已經登錄)。通過欺騙來自可信機器的連接,同一網絡上的攻擊者可以不經身份驗證訪問目標機器。
IP位址欺騙最常用在拒絕服務攻擊,其目的是使目標接受壓倒性的流量以過載,攻擊者不關心接收到攻擊數據報的響應。偽造IP位址的數據報過濾更困難,因為每個偽造數據報是來自一個不同的地址,他們隱藏攻擊的真正來源。使用欺騙方法的拒絕服務攻擊通常是隨機選擇整個IP位址空間的任意地址,但更複雜的欺騙機制可以避免選擇到不可路由的地址或IP位址空間的未使用部分。大型殭屍網絡的增殖使欺騙手段在拒絕服務攻擊中並不重要,但攻擊者通常可以選擇欺騙可以作為工具,如果他們使用它,依賴的攻擊包中的源IP位址的合法性來防禦拒絕服務攻擊會遇上很大麻煩。後向散射是一種用於觀察拒絕服務攻擊活動的技術,依賴於攻擊者使用IP欺騙的有效性。[來源請求]
合法用途
[編輯]使用具有錯誤源IP位址的數據包並不總是用於惡意企圖。例如,在網站性能測試,成百上千的「用戶」(虛擬用戶)可能被創建,每個都在執行測試網站的測試腳本,以模擬當系統上線和大量用戶立刻登錄時會發生什麼事。
由於每個用戶都會有自己的IP位址,商業測試產品(如HP LoadRunner、WebLOAD等)可以使用IP欺騙,同樣允許每個用戶自己的「返回地址」。
易受IP欺騙的服務
[編輯]易受IP欺騙的配置和服務:
- RPC(遠程過程調用服務)
- 使用IP位址認證的任何服務
- X Window系統
- 「R」服務套件(rlogin、remote shell(rsh)等)
欺騙攻擊防禦手段
[編輯]防火牆是一種防禦IP欺騙攻擊的手段。對網絡的網關通常執行入口過濾,用內網的源地址來阻止外網的數據包。這可以防止外部攻擊者欺騙內部機器的地址。理想情況下,網關也將對傳出的數據包執行出口過濾,用外網的源地址阻止內網數據包。這樣可以防止網絡內的攻擊者對來自外部機器進行IP欺騙攻擊並進行過濾。 另外建議設計網絡協議和服務,使他們不依賴於源IP位址進行身份驗證。
上層
[編輯]一些上層協議提供了自己的防禦IP欺騙攻擊。例如,TCP協議(TCP)使用與遠程機器協商的序列號,以確保到達的數據報是已建立連接的一部分。由於攻擊者通常不能看到任何響應數據報,必須猜測序列號以劫持連接。然而,在許多舊的作業系統和網絡設備中可以預測TCP序列號。
其他定義
[編輯]術語IP位址欺騙有時也用來指「報頭偽造」,在電子郵件或Usenet數據報頭插入虛假或誤導性信息。偽造的報頭用於誤導收件人或網絡應用程式,以了解消息的來源。這是濫發電子訊息和Sporgery的一種常見的技術,某些人想掩蓋他們的消息來源來避免被追查。
參見
[編輯]- 出口過濾
- 入口過濾
- 網絡地址轉換
- 逆向轉發
- RFC 1948,Defending Against Sequence Number Attacks,May 1996
- 路由器(包括製造商名單)
- 偽造URL
- MAC欺騙
參考書目
[編輯]- ^ Tanase, Matthew. IP Spoofing: An Introduction. Symantec. 2003年3月10日 [2015年9月25日]. (原始內容存檔於2013年6月11日).