IP 欺骗
本文约需 2 分钟阅读
IP 欺骗 (IP Spoofing) 是指伪造 IP 数据包的源地址,以隐藏攻击者身份或冒充受信任主机的攻击手法。它被广泛用于放大 DDoS 攻击,以及绕过基于 IP 地址的认证。由于 TCP/IP 协议的设计并未强制要求验证源地址,这使得该攻击成为可能。截至 2025 年,BCP38 的部署率仍称不上充分,利用 IP 欺骗的 DDoS 放大攻击依然是主要威胁。
现场使用案例
“在一次 DNS 反射攻击中,大量将源 IP 伪装为本公司服务器地址的 DNS 查询被发送到全球各地的开放解析器。结果,每秒 40 Gbps 的响应流量集中涌向本公司服务器,导致服务停摆约 2 小时。”
IP 欺骗的原理
攻击者将 IP 数据包头部的源地址字段改写为任意值后发送。基于 UDP 的通信是无连接的,因此伪造容易,常被滥用于 DNS 反射攻击和 NTP 放大攻击。基于 TCP 的通信需要三次握手,因此完全伪造较为困难,但对于像 SYN 洪泛攻击这类无需完成连接的攻击仍然有效。网络攻击书籍 (Amazon)可以从中学习技术细节。
实际攻击场景
在 DDoS 攻击中,攻击者将源 IP 伪装为目标地址的 DNS 查询发送给大量 DNS 服务器。DNS 服务器的响应会集中涌向被伪装的目标地址,使目标网络饱和。在这种放大攻击中,一个小查询会换来数十倍大小的响应,因此攻击者能够生成超过自身带宽的流量。此外,作为中间人攻击的前置阶段,还存在伪装受信任主机的 IP 以入侵网络的手法。
检测与防御
在 ISP 层面,基于 BCP38/RFC 2827 的入口过滤可以阻断源地址位于本网络范围之外的数据包。在防火墙上配置反欺骗规则,以及通过引入零信任安全来实现不仅仅依赖 IP 地址的认证,同样有效。用强随机密码保护网络设备、防止配置被篡改,也是基本的对策。防火墙配置指南 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?