指行動產生的 ip 資料報為偽造的源 ip 位址,以便冒充其他系統或發件人的身份。這是一種駭客的攻擊形式,駭客使用一台計算機上網,而借用另外一台機器的 ip 位址,從而冒充另外一台機器與伺服器打交道。防火牆可以識別這種 ip 欺騙。
按照 internet protocol(ip) 網路互聯協議,資料報頭包含**地和目的地資訊。 而 ip 位址欺騙,就是通過偽造資料報包頭,使顯示的資訊源不是實際的**,就像這個資料報是從另一台計算機上傳送的。
以 ip 位址認證作為使用者身份的服務
x window system
遠端服務系列(如遠端訪問服務)
在網路安全領域,隱藏自己的一種手段就是 ip 欺騙——偽造自身的 ip 位址向目標系統傳送惡意請求,造成目標系統受到攻擊卻無法確認攻擊源,或者取得目標系統的信任以便獲取機密資訊。
這兩個目的對應著兩種場景:
防範基本的 ip 欺騙
大多數路由器的內建的欺騙過濾器。過濾器的最基本形式是,不允許任何從外面進入網路的資料報使用單位的內部網路位址作為源位址。從網路內部發出的到本網另一台主機的資料報從不需要流到本網路之外去。因此,如果乙個來自外網的資料報,聲稱**於本網路內部,就可以非常肯定它是假冒的資料報,應該丟棄。這種型別的過濾叫做入口過濾,他保護單位的網路不成為欺騙攻擊的受害者。
另一種過濾型別是出口過濾,用於阻止有人使用內網的計算機向其他的站點發起攻擊。路由器必須檢查向外的資料報,確信源位址是來自本單位區域網的乙個位址,如果不是,這說明有人正使用假冒位址向另乙個網路發起攻擊,這個資料報應該被丟棄。
防範源路由欺騙
保護自己或者單位免受源路由欺騙攻擊的最好方法是通過 ip source-route 命令設定路由器禁止使用源路由。事實上人們很少使用源路由做合法的事情,因而阻塞這種型別的流量進入或者離開網路通常不會影響正常額業務。
防範信任關係欺騙
保護自己免受信任關係欺騙攻擊最容易的方法就是不使用信任關係,但這並不是最佳的解決方案。不過可以通過做一些事情使信任關係的暴露達到最小。 首先,限制擁有信任關係的人員。相比控制建立信任關係的機器數量,決定誰真正需要信任關係更加有意義。
參考:ip 欺騙攻擊的原理、實現與防範
ip 欺騙技術和防範方法
syn flood 和 ip spoofing(ip欺騙)的攻擊基本原理
IP欺騙攻擊的防禦
1 防範基本的ip欺騙 大多數路由器的內建的欺騙過濾器。過濾器的最基本形式是,不允許任何從外面進入網路的資料報使用單位的內部網路位址作為源位址。從網路內部發出的到本網另一台主機的資料報從不需要流到本網路之外去。因此,如果乙個來自外網的資料報,聲稱 於本網路內部,就可以非常肯定它是假冒的資料報,應該丟...
ARP欺騙攻擊原理及其防禦
一 概述 通訊方式 2 arp欺騙 利用arp協議的缺陷進行的一種非法攻擊 二 arp欺騙攻擊原理 1 原理 主機接收到乙個應答包之後,並不會驗證自己是否傳送過對應的arp請求包,也不會驗證這個arp請求包是否可信,而是直接用應答包裡的ip位址和mac位址的對應關係替換掉arp快取表裡原有的對應關係...
HCIE(1) arp欺騙供攻擊原理及防禦
arp協議,位址解析協議 是將ip位址與mac位址對應起來,屬於資料鏈路層協議。1 arp的資料報可分為兩種 請求包 廣播 源ip 本機的ip 目標ip 目標主機的ip 源mac 本機的amc 目標mac 全f 應答包 單播 源ip 本機的ip 目標ip 目標主機的ip 源mac 本機的amc 目標...