實現IP地址欺騙應注意的問題
IP地址對于網絡用戶來說就相當于網絡用戶的門牌號碼,而所謂的IP地址欺騙就是攻擊者假冒他人IP地址,發送數據包。因為IP協議不對數據包中的IP地址進行認證,因此任何人不經授權就可以偽造IP包的源地址。那么如何進行IP地址欺騙呢?實現IP地址欺騙的過程中應該注意哪些問題呢?
IP地址欺騙
IP包一旦從網絡中發送出去,源IP地址就幾乎不用,僅在中間路由器因某種原因丟棄它或到達目標端后,才被使用。這使得一個主機可以使用別的主機的IP地址發送IP包,只要它能把這類IP包放到網絡上就可以。因而,如果攻擊者把自己的主機偽裝成被目標主機信任的好友主機,即把發送的IP包中的源IP地址改成被信任的友好主機的IP地址,利用主機間的信任關系和這種信任關系的實際認證中存在的脆弱性(只通過IP確認),就可以對信任主機進行攻擊。注意其中所說的信任關系是指一個被授權的主機可以對信任主機進行方便的訪問。例如Unix中的所有的R*命令都采用信任主機方案,所以一個攻擊主機把自己的IP改為被信任主機的IP,就可以連接到信任主機,并能利用R*命令開后門達到攻擊的目的。
想要實現IP地址欺騙要注意以下兩個問題:
1.因為遠程主機只向偽造的IP地址發送應答信號,攻擊者不可能收到遠程主機發出的信息,即用C主機假冒B主機IP,連接遠程主機A,A主機只向B主機發送應答信號,C主機無法收到;
2.要在攻擊者和被攻擊者之間建立連接,攻擊者需要使用正確的TCP序列號。
攻擊者使用IP地址欺騙的目的主要有兩種:
1.只想隱藏自身的IP地址或偽造源IP和目的IP相同的不正常包,而并不關心是否能收到目標主機的應答,例如IP包碎片、Land攻擊等;
2.偽裝成被目標主機信任的友好主機得到非授權的服務。解決辦法:目前最理想的方法是使用防火墻,防火墻決定是否允許外部的IP數據包進入局域網,對來自外部的IP數據包進行檢驗。假如來自外部的數據包聲稱有內部地址,它一定是欺騙包。如果數據包的IP地址不是防火墻內的任何子網,它就不能離開防火墻。
【編輯推薦】
