什么是IP 欺骗以及如何防范?

专注IP定位
• 阅读 362

前言

现代 Internet通过发送和接收 IP 数据包来开展联网计算机与其他设备的通信,这就意味着早在互联网诞生之际就存在IP欺骗的风险。1980年,研究人员意识到黑客可以更改IP标头系统中的数据,并且撰写了相关的工作原理,但是这场内部人员之间的讨论并没有引起注意。 直到十年后,一场“年度计算机犯罪”才使得IP欺骗逐渐被人熟知。1994年,一位名叫下村勤的著名安全专家在圣诞节遭受了毁灭性的IP欺骗攻击,在经过媒体大幅度的报道之后,IP欺骗引起了民众和相关专家的注意。 什么是IP	欺骗以及如何防范? 鉴于每台计算机和服务器都有一个唯一标识符(互联网协议或IP地址),所以每个人都有可能受到IP欺骗的威胁。在这篇文章中,我们将讨论 IP 欺骗的定义、危害、常见的 IP 欺骗攻击类型,以及 IP 欺骗的一些合法用途。

什么是 IP 欺骗?

一般而言,IP 欺骗会通过获取Internet发送的部分数据进行更改,并使其看起来好像来自合法来源。IP 欺骗是许多不同攻击的广泛术语:

  • IP 地址欺骗:直接混淆攻击者的IP地址以进行拒绝服务(DoS)攻击。
  • 域名服务器 (DNS) 欺骗:修改DNS的源IP以将域名重定向到不同的IP。
  • 地址解析协议(ARP)欺骗:ARP欺骗更复杂,它涉及使用欺骗性ARP消息将计算机的媒体访问控制(MAC)地址链接到合法 IP。 IP 欺骗获取数据并在网络级别更改一些可识别信息,使得欺骗难以检测。 什么是IP	欺骗以及如何防范?

    IP 欺骗是如何发生的

    为了更好地理解 IP 欺骗,让我们先来了解一下互联网如何发送和使用数据。 每台计算机都有一个IP地址,发送的任何数据都被分成许多块(“数据包”),每个数据包单独传输,当这些数据包到达链的末端时,就会重新组装并作为一个整体呈现。此外,每个数据包还有其可识别信息(“标头”),其中包括来自源和目标的 IP 地址。 IP 欺骗使用源 IP 标头并更改一些细节以使其看起来更加真实,这使得IP欺骗难以被发现,网络工程师经常尝试寻找新的方法来保护通过网络传输的信息,例如通过使用IPv6来保护信息。IPv6是一种构建加密和身份验证的新协议,安全外壳 (SSH) 和安全套接字层 (SSL)有助于缓解攻击,虽然这并不能解决问题,但至少在理论上,实施的加密步骤越多,就越能保护计算机。

IP 欺骗的 3 种最常见的攻击类型

1. 僵尸网络

僵尸网络Botnet是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 什么是IP	欺骗以及如何防范? 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。黑客通过恶意软件等感染获得控制权,执行垃圾邮件攻击、DDoS 攻击、广告欺诈、勒索软件攻击等等。

造成这种情况的部分原因是IP欺骗。每个僵尸程序通常都有一个欺骗性IP,这使得恶意行为者难以追踪。也就是说,如果没有 IP 欺骗,就无法掩盖僵尸网络。

2. 拒绝服务 (DDoS) 攻击

通过制造并发送大流量无用数据,造成通往被攻击主机的网络拥塞,耗尽其服务资源,致使被攻击主机无法正常和外界通信。这涵盖了几种相关的欺骗攻击和技术,它们结合起来形成了整个攻击。

DNS 欺骗

2006年09月12日,多地网友反映百度无法正常使用,出现“请求超时”(Request timed out)的信息,百度搜索服务在全国各地出现了近30分钟的故障。百度被黑事件的发生再次揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁。 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。通过冒充域名服务器,把用户想要查询的IP地址设为攻击者的IP地址,用户就直接访问了攻击者的主页,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 什么是IP	欺骗以及如何防范? 恶意用户会利用 DNS 欺骗来渗透网络,将与 DNS 关联的域名更改为另一个 IP 地址。至此,恶意攻击者可以进行任意方式的攻击,恶意软件感染是最常见的一种,通过将流量从合法来源转移到恶意来源而避免被检测到,导致更多的机器感染并创建僵尸网络以有效地执行 DDoS 攻击。

IP 地址欺骗

在 DNS 欺骗之后,攻击者将执行多个IP 地址欺骗,以帮助混淆网络中的攻击源。这通常一个随机化的过程,在这个过程中,IP 地址随机变化,这使得攻击源难以检测和追踪。这种网络级攻击使得用户无法检测,同时也难倒了许多服务器端专家。

ARP中毒

ARP 欺骗(或“中毒”)是进行 DDoS 攻击的另一种方式。它结合了掩蔽僵尸网络和 IP 欺骗,但较之复杂得多。 ARP中毒是指通过针对局域网 (LAN) 并发送恶意ARP数据包来更改MAC表中设置的 IP 地址。这是攻击者一次性攻击大量计算机的简便方法。ARP 中毒的目标是操纵受感染的计算机引导所有网络流量,攻击者可以通过他们的计算机选择进行 DDoS 或 MITM 攻击。

3.MITM攻击

中间人 (MITM) 攻击则更加复杂、高效且更具危害性。 通过在数据到达用户连接的服务器之前拦截,攻击者可以使用虚假网站与用户进行交互以窃取信息。在MITM 攻击中,所涉及的两方可能会觉得通信正常,但在消息到达目的地之前,中间人就非法修改或访问了消息。 什么是IP	欺骗以及如何防范? 一旦攻击者通过欺骗 IP 地址获得对个人通信帐户的访问权限,就可以跟踪该通信的任何方面:窃取信息、将用户引导到虚假网站等。 MITM 攻击依赖于 IP 欺骗,因为需要在用户不知情的情况下进行信息的获取和拦截,黑客甚至可以长期收集数据并将其出售给他人。

IP欺骗的危害性

IP 欺骗在低网络级别出现,几乎每个互联网上的用户都可能受到威胁。且IP欺骗通常难以察觉,这意味着用户不会有任何警惕的迹象,因此可能会交出敏感信息。 此外,攻击者的主要目标往往涉及关键业务,例如安全系统和防火墙,这就是企业这么重视网站安全的原因。企业不仅需要足够强大的安全功能来缓解攻击,还需要确保当前网络下用户的警惕性,避免被攻击者趁虚而入。

IP 欺骗的合法用途

上文我们提到,IP欺骗难以控制是由于它的合法性:其合法用途具有一定价值和无可替代性。 例如,在网站性能测试中,需要创建成百上千的“用户”(虚拟用户)执行测试网站的测试脚本,以模拟当系统上线和大量用户立刻登录时的预发情况。由于每个用户都会有自己的IP地址,商业测试产品可以使用IP欺骗,允许每个用户自己的“返回地址”。 一些公司还将在与系统漏洞无关的模拟练习中使用 IP 欺骗。例如,通过创建数千个 IP 地址来群发邮件;使用 IP 欺骗来模拟用户注册测试结果。也就是说,任何需要模拟许多用户的情况都可能会用到 IP 欺骗。

如何防止 IP 欺骗

每起网络攻击事件平均给企业造成200,000美元的损失。由于 IP 欺骗是最容易发起的攻击之一,也是最具破坏性的攻击之一,因此加强IP欺骗的防范是有意义的。

  • 禁止基于IP的信任关系。IP欺骗的原理是冒充被信任主机的IP地址,这种信任关系建立在基于IP地址的验证上。如果禁止IP地址的信任关系,不允许R+类远程调用命令的使用,删除rhosts文件,并且清空/etc/hosts.equiv文件,使所有用户通过其他远程方式(如Telnet)等进行远程访问,可以有效防止IP欺骗。

  • 安装过滤路由器。如果需要通过路由器接入Internet,可以利用路由器进行过滤。确信只有用户的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN之外的主机要慎重处理。通过对信息包的监控来检查IP欺骗攻击是非常有效的方法之一,使用监控工具检查外接口的上包情况,如果发现两个地址都是本地域地址,就意味着有人要试图攻击,而这种监控正建立在IP地址溯源之上。 什么是IP	欺骗以及如何防范?

  • 使用IP加密。在通信时要求加密传输和验证,当有多个手段并存时,加密是最有效的方法。

  • 使用随机的初始序列号。IP欺骗的另一个重要因素是初始序列号不是随机选择或随机增加的。如果能够分割序列号空间,第一个链接有自己的独立序列号空间,序列号仍然按照之前的方式增加,但是这些序列号空间中没有明显的关系。用一个公式说明:ISN=M+F(Locallhost,Localport.remotehost,remoteport),其中M,4微秒定时器IF,加密HAsH函数.F产生的序列号很难被猜测出来。

点赞
收藏
评论区
推荐文章
Irene181 Irene181
3年前
盘点一款强大的网络工具集------netwox
大家好,我是Python进阶者,今天给大家分享一个网络工具netwox。前言netwox是由lauconstantin开发的一款网络工具集,适用群体为网络管理员和网络黑客,它可以创造任意的TCP、UDP和IP数据报文,以实现网络欺骗,并且可以在Linux和Windows系统中运行。可以说,对平时我们用来测试网络的性能和网站压力测试很
芝士年糕 芝士年糕
2年前
DNS域名详细解析过程
最近需要搭建一个网站,需要域名解析和备案了,租了一个很便宜的服务器,而且服务超级好,有兴趣私聊我。什么是DNS域名解析我们首先要了解域名和IP地址的区别。IP地址是互联网上计算机唯一的逻辑地址,通过IP地址实现不同计算机之间的相互通信,每台联网计算机都需要通过IP地址来互相联系和分别。但由于IP地址是由一串容易混淆的数字串构成,人们
专注IP定位 专注IP定位
2年前
静态IP是什么意思?和动态IP 有什么区别
互联网已成为我们生活的一部分,由于其性质,它包含了太多的概念。其中包括MAC地址、、协议等等。今天,我们正在研究其中一个概念,静态IP。静态IP往往伴随着IP地址管理或者是IP冲突等情况下出现,其实静态IP也是一项独立完整的技术。IP地址IP地址(Internet协议地址)是连接到Internet的设备用于在网络上相互交换数据的地址。每个连接到Intern
专注IP定位 专注IP定位
3年前
ISC大会之新型网络犯罪打击与治理指南
随着国家数字化进程与网络信息技术的迅速发展,传统违法行为以“电信、互联网”为介质,变异为“新型网络犯罪”。犯罪形式多样、群体年轻化、成本低等便利条件,使得互联网成为网络诈骗“新战场”!本次大会就“新型网络犯罪打击与治理”展开全方位论述。郑州埃文计算机科技有限公司联合创始人李腾飞特受邀出席此次盛会,2021年7月28日下午4:00《超高精度IP地址定位在新型网
李志宽 李志宽
3年前
【备战秋招】干翻面试官! 你这TCP攻击牛批阿!
这一篇主要和大家一起学习回顾关于TCP/IP的常见攻击,至少有一个基本的认识前言1IP欺骗IP是什么在网络中,所有的设备都会分配一个地址。这个地址就仿佛小蓝的家地址「多少号多少室」,这个号就是分配给整个子网的,「室」对应的号码即分配给子网中计算机的,这就是网络中的地址。「号」对应的号码为网络号,「室」对应的号码为主机号,这个地址的整体就是IP地址
Wesley13 Wesley13
3年前
IP定位领域中相关名词解释
1、数据挖掘数据挖掘是指从大量的数据中通过算法搜索隐藏于其中信息的过程,系统中的数据挖掘是指利用计算机技术对基准点、IP开源信息、IP应用场景等IP相关数据的采集、过滤和分析处理,对IP的属性进行探测的过程。2、网络测量网络测量是指利用探测机对IP的网络属性进行探测的过程,包含IP存活性、IP上层路由器拓扑连接关系和网络时延等网络信息。3
Wesley13 Wesley13
3年前
IP库购买需要注意哪些事项?
众所周知IP地址数据库在众多领域具有重要意义。互联网安全行业攻防定位方面,通过定位IP,确定网络攻击IP的来源,进行网络安全防御。如政府部门,通过定位网络攻击IP的地理位置,确定网络攻击的发起位置。互联网金融行业风险控制方面,互联网金融征信、反欺诈和位置核验。如保险公司,通过确定客户IP的位置,确定客户是否出现在常住地,从而降低信贷风险。互联网
专注IP定位 专注IP定位
2年前
关于TCP/IP协议漏洞的安全措施
摘要:我们介绍了TCP/IP协议中常见的漏洞类型包括ARP病毒攻击、基于RIP的攻击、DNS欺骗、TCP连接欺骗。面对TCP/IP协议中存在的漏洞我们要采取什么样的安全措施去预防和解决呢?首先从架构角度来说:IPSec与TLS最常用的两种安全架构,可以利IPSec、TLS安全架构在不同的协议层来保护数据传输的安全性。一、IPSecIPSec 是一组用来在网络
专注IP定位 专注IP定位
2年前
TCP/IP协议常见漏洞类型
摘要:TCP/IP由网络层的IP协议和传输层的TCP协议组成。常见的漏洞类型包括ARP病毒攻击、基于RIP的攻击、DNS欺骗、TCP连接欺骗。TCP/IP是TransmissionControlProtocol/InternetProtocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是lnternet最基本的协议、Intera