IP欺诈攻击的原理及防御方法

IP欺诈的定义

ip欺骗是指在互联网上模仿一个用户、设备或客户。 在网络攻击中常用来掩盖攻击流量的来源。

IP欺骗是制作具有源IP地址的Internet协议（IP）数据包，该IP地址已被修改为模拟另一计算机系统，或隐藏发送者的身份，或两者兼而有之。在IP欺骗中，源IP地址的头字段包含与实际源IP地址不同的地址。

IP欺骗是黑客经常使用的技术，针对目标设备或周围的基础设施发起分布式拒绝服务（DDoS）攻击和中间人攻击。DDoS攻击的目标是在隐藏恶意源的身份的同时使流量淹没攻击目标，从而防止缓解工作。

使用欺骗性IP地址攻击者的目的：

• 1.避免执法机构和网络警察调查者发现和受到牵连;
• 2.阻止攻击目标设备将他们在实施的攻击通知给设备所有者;
• 3.通过绕过将已知为恶意流量源的IP地址列入黑名单，来试图缓解DDoS攻击的安全脚本，设备和服务。

IP欺骗的类型

ARP欺骗攻击：当攻击者通过局域网发送伪造的ARP消息时，会发生ARP欺骗攻击。这将黑客的MAC地址与网络上合法计算机或服务器的IP地址相关联。

DNS服务器欺骗： 欺骗是域名系统（DNS）欺骗，此类攻击利用DNS漏洞并将互联网流量从合法服务器转移到虚假服务器。为了将域名重定向到不同的IP地址，对 DNS 服务器进行修改。 它通常用于传播病毒。

电子邮件欺骗：黑客还可以通过更改电子邮件标题字段来欺骗电子邮件，以错误地指示邮件来自不同的发件人。欺骗性电子邮件通常是网络钓鱼攻击的一部分，其中包含指向欺骗性网络钓鱼网站的链接：网站的重复版本似乎是原始版本。这个欺骗性网站试图窃取用户的登录凭据或其他机密信息，诱使他们相信他们在合法网站上。

IP地址欺骗：掩盖攻击者的原始地址。通常在DoS攻击中使用。

IP欺骗如何工作

在IP欺骗中，攻击者修改传出数据包标头中的源地址，以便目标计算机将数据包视为来自可信来源，例如企业网络上的计算机，并且目标计算机将接受该数据包。由于IP欺骗活动是在网络级别执行的，因此没有任何外部篡改迹象。

IP欺骗通常用于DDoS攻击，当黑客使用欺骗性IP地址来攻击计算机服务器时，其数据包大到足以使合法用户无法使用。通常，欺骗性IP数据包是由地理位置分散的僵尸网络发送的。大型僵尸网络可能包含数万台计算机，每台计算机可以同时欺骗多个源IP地址。因此，这种自动攻击很难追踪。

如何防止IP欺骗

IP地址欺骗一般是绕过通过绕过ip黑名单建立的安全措施。所以我们就要屏蔽那些涉及之前攻击的已经知道的ip地址

组织可以采取措施阻止欺骗性数据包渗透其网络，包括：

• 1.监控非典型活动的网络。
• 2.部署能够检测不一致的数据包过滤系统，例如源IP地址与公司网络上的数据不匹配的传出数据包。
• 3.对所有远程访问使用强大的验证方法，包括企业内部网上的系统，以防止接受已经破坏企业网络上另一个系统的攻击者的欺骗性数据包。
• 4.验证入站IP数据包的IP地址。
• 5.使用网络攻击拦截器。

防火墙是阻止带有欺骗地址的IP数据包的重要工具，所有企业路由器都应配置为拒绝具有欺骗地址的数据包。一些基本考虑包括：

• 1.配置路由器和防火墙以拒绝具有源自企业外部外部的专用IP地址的数据包。
• 2.阻止源自企业内部但欺骗外部地址作为源IP地址的流量; 这可以防止欺骗攻击从企业内部发起，抵御其他外部网络。

通过ddos防攻击系统进行流量洗涤，然后进行过滤，确定您的攻击流量不会进入正常使用的网络。这样就有效的保障您的流量正常通过。

IP欺骗的例子

在2018年2月28日，GitHub代码托管平台被当时认为是有史以来最大的DDoS攻击所击中。黑客欺骗了GitHub的IP地址，并向几个通常用于加速数据库驱动站点的memcached服务器发送了查询。然后，服务器将返回的数据从这些请求放大到GitHub约50倍，这意味着对于攻击者发送的每个字节，最多向目标发送51 KB。在这种情况下，GitHub的每秒流量为1.35太比特，导致该网站停机10分钟。