梦幻西游手游神兽号:何为IP spoofing?IP spoofing的形成?IP spoofing的危害?IP spoofing的防护?

伪 IP
（IP Spoofing）
伪 IP 技术是指一种获取对计算机未经许可的访问的技术，即攻击者通过伪 IP 地址向计算机发送信息，并显示该信息来自于真实主机。
伪 IP 技术导致的攻击类型有多种，如下所述：

Non-Blind Spoofing ― 当攻击者与其目标（可以“看到”数据包序列和确认）处在同一子网中时，容易发生这种攻击，它将可能导致会话劫机。攻击者可以避开任何认证标准而建立新的连接，其具体实现如下：在本机上，攻击者通过非法行为破坏掉目标对象已建连接的数据流，然后基于正确的序列号和确认号重新建立新的连接。

Blind Spoofing ― 当不能从外部获得序列号和确认号时，容易发生这种攻击。攻击者向目标机器上发送数据包，以对其序列号进行取样，这种方法在过去是可行的，但现在，大多数操作系统采用随机序列号，这就使得攻击者们很难准确预测目标序列号。但一旦序列号被破解，数据就很容易被发送到目标机器上。

Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具体是指：攻击者从中截取两个主机之间的合法通信信息，并在双方不知道的情况下，删除或更改由一方发送给另一方的信息内容。如此，通过伪造原发送方或接收方的身份，攻击者达到其非法访问通信双方保密信息的目的。 Connection Hijacking 为 TCP 通信开发了一种 Desynchronized State，即当接收到的数据包的序列号与所期望的序列号不一致时，这种连接称为 Desynchronized。TCP 层可能删除也可能缓冲数据包，这主要取决于接收到的序列号实际值。当两台主机充分达到 Desynchronized 状态，它们将互相删除/忽略来自对方的数据包。这时，攻击者便趁机导入序列号正确的伪造数据包，其中的通信信息可能作过修改或添加。该过程中，攻击者一直位于主机双方通信路径上，使其可以复制双方发送的数据包。该类攻击关键在于建立 Desynchronized State。

Denial of Service Attack ― 伪 IP 大多数情况下用于拒绝服务攻击（DoS），即攻击者以极大的通信量冲击网络，使得网络可用带宽和资源在较短的时间内消耗殆尽。为达到最有效的攻击效果，攻击者伪造一个源 IP 地址使得他人很难追踪和终止 DoS。当有多个通信失败的主机也加入攻击者行列中，并且群体发送伪通信量时，很难立即阻止这些流量。

需要注意的是，伪 IP 技术不支持匿名 Internet 访问，这常常被人们所误解。超出简单扩散之外的任何一种伪技术相对而言都是很高级的，并用于特定的情形中，如 Evasion、Connection Hijacking。为防止网络中的伪 IP 行为，目前通常采取以下措施：

避免使用源地址认证。采用加密认证系统。
将机器配置为拒绝由局部地址网络发送来的数据包。
在边界路由器上执行进、出过滤，并通过 ACL（Access Control List）以阻止下游接口上的私人 IP 地址。
如果你允许某些可信赖主机的外部连接，要确保路由器处的会话进行加密保护。

实模式：寻址采用和8086相同的16位段和偏移量，最大寻址空间1MB，最大分段64KB。可以使用32位指令。32位的x86 CPU用做高速的8086。
保护模式：寻址采用32位段和偏移量，最大寻址空间4GB，最大分段4GB (Pentium Pre及以后为64GB)。在保护模式下CPU可以进入虚拟8086方式，这是在保护模式下的实模式程序运行环境。
Non-Blind Spoofing ― 当攻击者与其目标（可以“看到”数据包序列和确认）处在同一子网中时，容易发生这种攻击，它将可能导致会话劫机。攻击者可以避开任何认证标准而建立新的连接，其具体实现如下：在本机上，攻击者通过非法行为破坏掉目标对象已建连接的数据流，然后基于正确的序列号和确认号重新建立新的连接。

Blind Spoofing ― 当不能从外部获得序列号和确认号时，容易发生这种攻击。攻击者向目标机器上发送数据包，以对其序列号进行取样，这种方法在过去是可行的，但现在，大多数操作系统采用随机序列号，这就使得攻击者们很难准确预测目标序列号。但一旦序列号被破解，数据就很容易被发送到目标机器上。

Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具体是指：攻击者从中截取两个主机之间的合法通信信息，并在双方不知道的情况下，删除或更改由一方发送给另一方的信息内容。如此，通过伪造原发送方或接收方的身份，攻击者达到其非法访问通信双方保密信息的目的。 Connection Hijacking 为 TCP 通信开发了一种 Desynchronized State，即当接收到的数据包的序列号与所期望的序列号不一致时，这种连接称为 Desynchronized。TCP 层可能删除也可能缓冲数据包，这主要取决于接收到的序列号实际值。当两台主机充分达到 Desynchronized 状态，它们将互相删除/忽略来自对方的数据包。这时，攻击者便趁机导入序列号正确的伪造数据包，其中的通信信息可能作过修改或添加。该过程中，攻击者一直位于主机双方通信路径上，使其可以复制双方发送的数据包。该类攻击关键在于建立 Desynchronized State。

Denial of Service Attack ― 伪 IP 大多数情况下用于拒绝服务攻击（DoS），即攻击者以极大的通信量冲击网络，使得网络可用带宽和资源在较短的时间内消耗殆尽。为达到最有效的攻击效果，攻击者伪造一个源 IP 地址使得他人很难追踪和终止 DoS。当有多个通信失败的主机也加入攻击者行列中，并且群体发送伪通信量时，很难立即阻止这些流量。

需要注意的是，伪 IP 技术不支持匿名 Internet 访问，这常常被人们所误解。超出简单扩散之外的任何一种伪技术相对而言都是很高级的，并用于特定的情形中，如 Evasion、Connection Hijacking。为防止网络中的伪 IP 行为，目前通常采取以下措施：

避免使用源地址认证。采用加密认证系统。
将机器配置为拒绝由局部地址网络发送来的数据包。
在边界路由器上执行进、出过滤，并通过 ACL（Access Control List）以阻止下游接口上的私人 IP 地址。
如果你允许某些可信赖主机的外部连接，要确保路由器处的会话进行加密保护。

Non-Blind Spoofing ― 当攻击者与其目标（可以“看到”数据包序列和确认）处在同一子网中时，容易发生这种攻击，它将可能导致会话劫机。攻击者可以避开任何认证标准而建立新的连接，其具体实现如下：在本机上，攻击者通过非法行为破坏掉目标对象已建连接的数据流，然后基于正确的序列号和确认号重新建立新的连接。

Blind Spoofing ― 当不能从外部获得序列号和确认号时，容易发生这种攻击。攻击者向目标机器上发送数据包，以对其序列号进行取样，这种方法在过去是可行的，但现在，大多数操作系统采用随机序列号，这就使得攻击者们很难准确预测目标序列号。但一旦序列号被破解，数据就很容易被发送到目标机器上。

Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具体是指：攻击者从中截取两个主机之间的合法通信信息，并在双方不知道的情况下，删除或更改由一方发送给另一方的信息内容。如此，通过伪造原发送方或接收方的身份，攻击者达到其非法访问通信双方保密信息的目的。 Connection Hijacking 为 TCP 通信开发了一种 Desynchronized State，即当接收到的数据包的序列号与所期望的序列号不一致时，这种连接称为 Desynchronized。TCP 层可能删除也可能缓冲数据包，这主要取决于接收到的序列号实际值。当两台主机充分达到 Desynchronized 状态，它们将互相删除/忽略来自对方的数据包。这时，攻击者便趁机导入序列号正确的伪造数据包，其中的通信信息可能作过修改或添加。该过程中，攻击者一直位于主机双方通信路径上，使其可以复制双方发送的数据包。该类攻击关键在于建立 Desynchronized State。

Denial of Service Attack ― 伪 IP 大多数情况下用于拒绝服务攻击（DoS），即攻击者以极大的通信量冲击网络，使得网络可用带宽和资源在较短的时间内消耗殆尽。为达到最有效的攻击效果，攻击者伪造一个源 IP 地址使得他人很难追踪和终止 DoS。当有多个通信失败的主机也加入攻击者行列中，并且群体发送伪通信量时，很难立即阻止这些流量。

需要注意的是，伪 IP 技术不支持匿名 Internet 访问，这常常被人们所误解。超出简单扩散之外的任何一种伪技术相对而言都是很高级的，并用于特定的情形中，如 Evasion、Connection Hijacking。为防止网络中的伪 IP 行为，目前通常采取以下措施：

避免使用源地址认证。采用加密认证系统。
将机器配置为拒绝由局部地址网络发送来的数据包。
在边界路由器上执行进、出过滤，并通过 ACL（Access Control List）以阻止下游接口上的私人 IP 地址。
如果你允许某些可信赖主机的外部连接，要确保路由器处的会话进行加密保护。