岁末年初 网络协议欺骗攻防小结(2)

    IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而，如果攻击者把自己的主机伪装成被目标主机信任的好友主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以对信任主机进行攻击。注意其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。例如Unix中的所有的R*命令都采用信任主机方案，所以一个攻击主机把自己的IP改为被信任主机的IP，就可以连接到信任主机，并能利用R*命令开后门达到攻击的目的。

    想要实现IP地址欺骗要注意以下两个问题：
    1.因为远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到；
    2.要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。

    攻击者使用IP地址欺骗的目的主要有两种：
    1.只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包，而并不关心是否能收到目标主机的应答，例如IP包碎片、Land攻击等；
    2.伪装成被目标主机信任的友好主机得到非授权的服务。解决办法：目前最理想的方法是使用防火墙，防火墙决定是否允许外部的IP数据包进入局域网，对来自外部的IP数据包进行检验。假如来自外部的数据包声称有内部地址，它一定是欺骗包。如果数据包的IP地址不是防火墙内的任何子网，它就不能离开防火墙。