赣州众联网络8年专注于赣州网站建设,赣州做网站、网站SEO优化就找众联!
赣州众联网络
赣州做网站 > 网站设计 > 什么是IP欺骗攻击?

什么是IP欺骗攻击?

时间 : 2019-02-10 11:25 浏览量 : 23

  IP欺骗技术是一种很不好理解的一种技术,因为这种技术需要比较深入地了解TCP/IP的工作原理以及具体的实现方法。

  

IP欺骗入侵攻击


  我们首先来讲述一下盗用IP地址的问题。这是一个经常存在的问题,它不需要编程即可进行。当一台主机使用的不是分配给自己的IP地址时,就有盗用IP地址的嫌疑了。带有假冒的IP地址的IP包既可能来自同一网段内部,也可;能来自同一网段外部,不同的情况有不同的结果。

  

  一台主机能否使用另外的IP地址呢?如果在同一个子网中,并且具有该IP地址的主机未开机,那么盗用者可以放心地使用这个IP地址,惟一留下马脚的是物理地址有可能被记录下来,否则,就会不断地被报告IP冲突。如果盗用的是另一网段乙台主机的IP地址:;一般情况下是不行的,因为在正常通信时,将收不到从对方返回的IP数据包。

  

  因此,盗用IP应该是只能盗用本网段的IP。原因很简单:一个最简单的网段,也要有一个路由器作为出口。在路由器的配置中,要指定这个网段的网络地址和掩码。如果这个网段的主机使用了其他网段的IP,则路由器不认为这个IP属于他的网段,所以不给转发。

  

  防止盗用IP可以绑定IP和物理地址。这是因为在一个网段内的网络寻址不是依靠IP而是物理地址。IP只是在网际间寻址使用的。因此在网段的;路由器上有IP和物理的动态对应表,这是由ARP协议来生成并维护的。配置路由器时,可以指定静态的ARP表,这样路由器会根据静态ARP表检查数据,如果不能对应,则不进行处理。所以,通过设置路由器上的静态ARP表,可以防止在本网段盗用IP。

  

  一般来讲,“欺骗”技术是用来减轻网络开销的,特别适用于广域网。通过这种技术,可以减少一些网络设备,如网桥、路由器等对远程的回应,从而减轻网络带宽压力。该技术实际上是欺骗局域网上的设备,使它认为远程局域网已经连接上了,而事实上可能尚未连上。然而、这种技术同样可为黑客们攻击别的站点开了方便之门。

  

  IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装成另外的一台主机,而这台主机往往具有某种恃权或者被另外的主机所信任。

  

  IP欺骗通常都要用编写的程序实现。通过使用Raw-Socket编程,发送带有假冒的源IP地址的IP数据包,来达到自己的目的。另外,在现在的网上,也有大量的可以发送伪造的IP地址的工具可用,使用它可以任意指定源IP地址,以免留下自己的痕迹。

  

IP身份验证


  使用计算机和上网的人们都知道,每个机器用户都要经过身份验证,这种验证一般发生在用户连接到网络上,去使用某种资源或服务的时候,这个网络可以是连接甩户的家里、办公室或外面的Internet网络。下般来说,身份验证往往发生在应用层,典型情况如用户在使用FTP进行文件传输或Telnet进行远程登录时。这种情况下用户需要输入用户名和口令,只有用户名和口令字相符合时认证才通过。这种认证我们是知道的。

  

  但是还有另外的验证,一般用户在使用机器的时候并不感觉到验证的发生,如一些不发生在应用层的验证,这时候的验证往往是机器之间的认证。机器之间通过相互对话完成验证,机器之间的验证是自动进行的,只有这样不经过人的干预,才有可能会发生伪装的事情。

  

  防止IP欺骗的最佳方法是安装过滤路由器。过滤路由器对入站数据包进行过滤,方法是,如果数据包的源地址为内部网络地址,那么它就不允许这个数据包通过。此外,还应该过滤源地址不是你的内部网络地址的出站数据包,目的是预防由你的站点发起的源IP地址欺骗攻击。很多最常见的商业防火墙厂商,比如Cisco、3Com、Bay Networks,都提供了这个选项。

  

  如果你的厂商路由器不支持对网卡入站方的过滤,并且你觉得需要立即过滤这样的数据包,那么,可以通过外部网卡和外部连接之间使用第二个路由器来过滤伪装IP数据包。在连接到你的原始路由器的出站网卡上,配置这个路由器阻塞源地址为内部网络地址的所有数据包。出于这个目的,你能够使用一台过滤路由器或带有两块网卡、支持包过滤的UNIX系统。


WEBSITE CONSTRUCTION

网站建设资讯

打开客服菜单
cache
Processed in 0.009108 Second.