跳到主体内容

IP 欺骗:工作原理以及如何防止

欺骗是一种特定类型的网络攻击,其中有人试图通过伪装成合法实体来使用计算机、设备或网络来欺骗其他计算机网络。它是黑客用来访问计算机以获取敏感数据、将其变成僵尸(被恶意使用的计算机)或发起拒绝服务 (DoS) 攻击的众多工具之一。在不同类型的欺骗中,IP 欺骗最常见。

什么是 IP 欺骗?

IP 欺骗或 IP 地址欺骗指创建具有虚假源IP 地址的互联网协议 (IP) 数据包以冒充另一个计算机系统。IP 欺骗可让网络犯罪分子执行恶意操作,通常不会被检测到。这可能包括窃取您的数据、用恶意软件感染您的设备或使您的服务器崩溃。

IP 欺骗的工作原理

让我们从一些背景开始:通过互联网传输的数据首先被分成多个数据包,这些数据包被独立发送并在最后重新组合。每个数据包都有一个 IP(互联网协议)标头,其中包含有关数据包的信息,包括源 IP 地址和目标 IP 地址。

在 IP 欺骗中,黑客使用工具修改数据包头中的源地址,使接收计算机系统认为数据包来自受信任的来源(例如合法网络上的另一台计算机),并接受它。这发生在网络级别,因此没有外部篡改迹象。

在依赖联网计算机之间信任关系的系统中,IP 欺骗可用于绕过 IP 地址身份验证。这个概念有时被称为“城堡和护城河”防御,即网络外部的人被视为威胁,而“城堡”内的人受到信任。一旦黑客入侵网络并进入内部,就很容易探索系统。由于此漏洞,使用简单身份验证作为防御策略正越来越多地被更强大的安全方法所取代,例如具有多步身份验证的安全方法。

虽然网络犯罪分子经常使用 IP 欺骗来进行在线欺诈和身份盗窃或关闭公司网站和服务器,但有时也可用于合法用途。例如,组织可能会在网站上线前测试网站时使用 IP 欺骗。这将涉及创建数千个虚拟用户来测试网站,以查看该网站是否可以处理大量登录而不会被淹没。以这种方式使用 IP 欺骗并不违法。

IP 欺骗的类型

三种最常见的 IP 欺骗攻击形式是:

分布式拒绝服务 (DDoS) 攻击

DDoS 攻击中,黑客使用欺骗性 IP 地址用数据包淹没计算机服务器。这使他们能够在隐藏身份的同时减慢或使具有大量互联网流量的网站或网络崩溃。

掩蔽僵尸网络设备

IP 欺骗可用来通过掩蔽僵尸网络获取对计算机的访问权限。僵尸网络是黑客从单一来源控制的计算机网络。每台计算机运行一个专用机器人,该机器人代表攻击者执行恶意活动。IP 欺骗允许攻击者掩蔽僵尸网络,因为网络中的每个机器人都有一个欺骗 IP 地址,这使得恶意行为者难以被追踪。这可以延长攻击的持续时间以最大化收益。

“中间人”攻击

另一种恶意 IP 欺骗方法使用“中间人”攻击来中断两台计算机之间的通信、更改数据包并在原始发送者或接收者不知情的情况下传输它们。如果攻击者伪造 IP 地址并获得对个人通信帐户的访问权限,他们就可以跟踪该通信的任何方面。从那里可以窃取信息,将用户引导至虚假网站等等。随着时间的推移,黑客收集了大量他们可以使用或出售的机密信息——这意味着中间人攻击可能比其他攻击更有利可图。

IP 欺骗示例

最常被引用的 IP 欺骗攻击示例之一是2018 年 GitHub 的 DDoS 攻击。GitHub 是一个代码托管平台,2018 年 2 月,它遭到了被认为是有史以来规模最大的 DDoS 攻击。攻击者在一次大规模的协同攻击中欺骗了 GitHub 的 IP 地址,导致服务中断了近 20 分钟。GitHub 通过中间合作伙伴重新路由流量并清理数据以阻止恶意方,从而重新获得了控制权。

更早的一个例子发生在 2015 年,当时欧洲刑警组织打击了整个大陆的中间人攻击。该攻击涉及黑客拦截企业与其客户之间的支付请求。犯罪分子使用 IP 欺骗来获取对组织的公司电子邮件帐户的欺诈性访问。然后,他们窥探通信并拦截客户的支付请求,以便可以欺骗这些客户将付款发送到他们控制的银行账户。

IP 欺骗不是网络欺骗的唯一形式——还有其他类型,包括电子邮件欺骗、网站欺骗、ARP 欺骗、短信欺骗等等。您可以在此处阅读卡巴斯基针对不同类型欺骗的完整指南

How to prevent IP address spoofing

如何检测 IP 欺骗

最终用户很难检测到 IP 欺骗,这就是它如此危险的原因。这是因为 IP 欺骗攻击在网络层执行,即开放系统互连通信模型的第 3 层。这不会留下外部篡改迹象——通常,欺骗性连接请求可能从外部看起来是合法的。

但是,组织可以使用网络监控工具来分析端点的流量。数据包过滤是最常用的方法。数据包过滤系统(通常包含在路由器和防火墙中)检测数据包的 IP 地址与访问控制列表 (ACL) 中详细说明的所需 IP 地址之间的不一致之处。他们也检测欺诈性数据包。

数据包过滤的两种主要类型是入口过滤和出口过滤:

  • 入口过滤查看传入数据包以评估源 IP 标头是否与允许的源地址匹配。任何看起来可疑的数据包都将被拒绝。
  • 出口过滤查看传出数据包以检查与组织网络上的源 IP 地址不匹配的源 IP 地址。这是为了防止内部人员发起 IP 欺骗攻击。

如何防范 IP 欺骗

IP 欺骗攻击旨在隐藏攻击者的真实身份,使其难以被发现。但是,可以采取一些反欺骗措施来最大程度地降低风险。最终用户无法阻止 IP 欺骗,因为尽其所能阻止 IP 欺骗是服务器端团队的工作。

针对 IT 专业人员的 IP 欺骗防护:

大多数用于避免 IP 欺骗的策略必须由 IT 专业人员开发和部署。防止 IP 欺骗的选项包括:

  • 监控网络的非典型活动。
  • 部署数据包过滤以检测不一致(例如源 IP 地址与组织网络上的地址不匹配的传出数据包)。
  • 使用稳健的验证方法(即使在联网的计算机中)。
  • 验证所有 IP 地址并使用网络攻击拦截器。
  • 将至少一部分计算资源置于防火墙之后。防火墙将通过过滤带有欺骗性 IP 地址的流量、验证流量和阻止未经授权的外部人员的访问来帮助保护您的网络。

鼓励网页设计师将网站迁移到最新的互联网协议 IPv6。它通过包括加密和身份验证步骤来增加 IP 欺骗的难度。全世界互联网流量的很大一部分仍然使用以前的协议 IPv4。

针对最终用户的 IP 欺骗防护:

最终用户无法阻止 IP 欺骗。虽说如此,践行基本的网络卫生将有助于最大限度地提高您的在线安全。明智的预防措施包括:

确保您的家庭网络设置安全

这意味着更改家庭路由器和所有连接设备上的默认用户名和密码,并确保使用强密码。强密码避免显而易见的问题,包含至少 12 个字符以及大小写字母、数字和符号的混合。您可以在此处阅读卡巴斯基设置安全家庭网络的完整指南

使用公共 Wi-Fi 时要小心

避免在不安全的公共 Wi-Fi 上进行购物或银行业务等交易。如果您确实需要使用公共热点,请使用虚拟专用网络 (VPN)最大限度地提高您的安全性。VPN 会加密您的互联网连接,以保护您发送和接收的私人数据。

确保您访问的网站是 HTTPS

有些网站不加密数据。如果他们没有最新的SSL 证书,他们更容易受到攻击。URL 以 HTTP 而不是 HTTPS 开头的网站不安全,会给与该网站共享敏感信息的用户带来风险。确保您使用的是 HTTPS 网站并在 URL 地址栏中查找挂锁图标。

对网络钓鱼尝试保持警惕

警惕来自攻击者的网络钓鱼电子邮件,它们会要求您更新密码或其他登录凭据或支付卡数据。网络钓鱼电子邮件设计成好像来自信誉良好的组织,但实际上是由诈骗者发送的。避免点击钓鱼邮件中的链接或打开附件。

使用综合反病毒软件

保持在线安全的最佳方法是使用高质量的反病毒软件来保护您远离黑客、病毒、恶意软件和最新的在线威胁。使您的软件保持最新以确保其具有最新的安全功能也至关重要。

推荐产品

进一步阅读

IP 欺骗:工作原理以及如何防止

IP 欺骗是黑客用来未经授权访问计算机的一种技术。了解 IP 欺骗的工作原理、如何检测 IP 欺骗以及如何保护自己。
Kaspersky logo

相关文章