定義
指行動産生的IP數據包為僞造的源IP地址,以便冒充其他系統或發件人的身份。這是一種駭客的攻擊形式,駭客使用一台計算機上網,而借用另外一台機器的IP地址,從而冒充另外一台機器與服務器打交道。防火牆可以識别這種ip欺騙。按照Internet Protocol(IP)網絡互聯協議,數據包頭包含來源地和目的地信息。而IP地址欺騙,就是通過僞造數據包包頭,使顯示的信息源不是實際的來源,就像這個數據包是從另一台計算機上發送的。
原理
在網絡上,計算機之間要進行交流必須在兩個前提之下:認證和信任。
認證是一種鑒别過程,兩台計算機經過認證的過程,才會建立起相互信任的關系。信任和認證具有逆反關系,即如果計算機之間存在高度的信任關系,則交流時就不會要求嚴格的認證。而反之,如果計算機之間沒有很好的信任關系,則會進行嚴格的認證。
IP地址欺騙實質上就是冒充身份通過認證來騙取信任的攻擊方式,攻擊者針對認證機制的缺陷,将自己僞裝成其他計算機的IP地址,騙取連接來獲得信息或者得到特權。
受攻擊的服務
以IP地址認證作為用戶身份的服務;
X window system;
遠程服務系列(如遠程訪問服務)。
應用方法
在網絡安全領域,隐藏自己的一種手段就是IP欺騙——僞造自身的IP地址向目标系統發送惡意請求,造成目标系統受到攻擊卻無法确認攻擊源,或者取得目标系統的信任以便獲取機密信息。
這兩個目的對應着兩種場景:
場景一,常用于DDoS攻擊(分布式拒絕攻擊),在向目标系統發起的惡意攻擊請求中,随機生成大批假冒源IP,如果目标防禦較為薄弱,對收到的惡意請求也無法分析攻擊源的真實性,從而達到攻擊者隐藏自身的目的。
這類場景裡一種很有意思的特殊情景來自于“反射”式DDoS攻擊,它的特點來自于利用目标系統某種服務的協議缺陷,發起針對目标系統輸入、輸出的不對稱性——向目标發起吞吐量相對較小的某種惡意請求,随後目标系統因其協議缺陷返回大量的響應,阻塞網絡帶寬、占用主機系統資源。這時如果攻擊者的請求使用真實源地址的話,勢必要被巨大的響應所吞沒,傷及自身。這樣,攻擊者采取IP欺騙措施就勢在必行了。
場景二,原本A主機信任B主機,也就是B可以暢通無阻地獲取A的數據資源。而惡意主機C為了能同樣獲取到A的數據,就需要僞裝成B去和A通信。這樣C需要做兩件事:第一、讓B“把嘴堵上”,不再向A吐請求,比如向B主機發起DoS攻擊(拒絕服務攻擊),占用B的連接使其無法正常發出網絡包;第二、僞裝成B的IP和A交互。
防禦方法
IP欺騙的防範,一方面需要目标設備采取更強有力的認證措施,不僅僅根據源IP就信任來訪者,更多的需要強口令等認證手段;另一方面采用健壯的交互協議以提高僞裝源IP的門檻。有些高層協議擁有獨特的防禦方法,比如TCP(傳輸控制協議)通過回複序列号來保證數據包來自于已建立的連接。由于攻擊者通常收不到回複信息,因此無從得知序列号。不過有些老機器和舊系統的TCP序列号可以被探得。
