什麼是 IP 詐騙?

帶有偽造來源位址的冒用 IP 封包通常會在攻擊中用來避免偵測。

Share facebook icon linkedin icon twitter icon email icon

IP 詐騙

學習目標

閱讀本文後,您將能夠:

  • 定義 IP 詐騙
  • 描述 DDoS 攻擊中是如何使用 IP 詐騙的
  • 描述一種抵禦 IP 詐騙的方式

什麼是 IP 詐騙?

IP 詐騙是建立帶有已修改來源位址的網際網路通訊協定 (IP) 封包,以便隱藏傳送者的身分,或模仿另一個電腦系統,或同時實現兩個目標。惡意攻擊者通常會用該技術來叫用針對目標裝置或周圍基礎設施的 DDoS 攻擊


傳送和接收 IP 封包是聯網電腦和其他裝置通訊的主要方式,也構成了現代網際網路的基礎。所有 IP 封包均包含一個位於封包主體之前的標頭且包含重要路由資訊,包括來源位址。在正常的封包中,來源 IP 位址是封包傳送者的位址。如果封包被冒用,來源位址將被偽造。

IP 詐騙 DDoS 攻擊

IP 詐騙類似於攻擊者向某人傳送列出錯誤返回位址的封包。如果收到封包的人想要阻止傳送者傳送封包,阻止所有來自偽造位址的封包將於事無補,因為返回位址很容易更改。與此相關的是,如果接收者想要回應返回地址,他們的回應包將前往真正傳送者之外的其他地方。冒用封包位址的能力是許多 DDoS 攻擊利用的核心漏洞。


DDoS 攻擊通常會利用電子詐騙,以流量攻擊目標,同時用惡意來源隱瞞身分,阻止為緩解所做的努力。如果來源 IP 位址被偽造並持續隨機化,就很難阻止惡意請求。IP 詐騙也使執法機關和網路安全團隊很難追捕攻擊的犯罪者。


詐騙也用來偽裝成另一個裝置,以便響應會傳送到該目標裝置。巨流量攻擊,如 NTP 放大DNS 放大會利用此漏洞。修改來源 IP 的能力是 TCP/IP 的設計所固有的,使之成為一種持續的安全問題。

電子欺騙與 DDoS 攻擊無關,其目的也可以是偽裝成另一種裝置,以便回避身分驗證並獲取使用者工作階段存取權或「劫持」使用者工作階段。

如何抵禦 IP 詐騙(封包過濾)

雖然無法阻止 IP 詐騙,可以採取措施來阻止被冒用的封包滲透網路。詐騙的一種非常常見的抵禦措施是 BCP38(一份最佳常見做法文件)中概述的連入過濾。連入過濾是封包過濾的一種形式,通常在網路邊緣裝置上實施,此類裝置會檢查傳入的 IP 封包並查看他們的來源標頭。 如果這些封包上的來源標頭與其原始來源標頭不相符,或者看起來很可以,封包會被拒絕。一些網路也會實行連出過濾,對網路中存在的 IP 封包進行檢查,確保這些封包有合法的來源標頭,以防止網路內的某些人使用 IP 詐騙發起外傳惡意攻擊。