帶有偽造來源位址的冒用 IP 封包通常會在攻擊中用來避免偵測。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
IP 詐騙是建立帶有已修改來源位址的網際網路通訊協定 (IP) 封包,以便隱藏傳送者的身分,或模仿另一個電腦系統,或同時實現兩個目標。惡意攻擊者通常會用該技術來叫用針對目標裝置或周圍基礎結構的 DDoS 攻擊。
傳送和接收 IP 封包是連網電腦和其他裝置通訊的主要方式,也構成了現代網際網路的基礎。所有 IP 封包均包含一個位於封包主體之前的標頭且包含重要路由資訊,包括來源位址。在正常的封包中,來源 IP 位址是封包傳送者的位址。如果封包被冒用,來源位址將被偽造。
IP 詐騙類似於攻擊者向某人傳送列出錯誤返回位址的封包。如果收到封包的人想要阻止傳送者傳送封包,封鎖所有來自偽造位址的封包將於事無補,因為返回位址很容易更改。與此相關的是,如果接收者想要回應返回地址,他們的回應包將前往真正傳送者之外的其他地方。冒用封包位址的能力是許多 DDoS 攻擊利用的核心漏洞。
DDoS 攻擊通常會利用電子詐騙,以流量攻擊目標,同時用惡意來源隱瞞身分,從而阻止緩解措施。如果來源 IP 位址被偽造並持續隨機化,就很難封鎖惡意請求。IP 詐騙也使執法機關和網路安全性團隊很難追蹤攻擊的犯罪者。
詐騙也用來偽裝成另一個裝置,以便回應會傳送到該目標裝置。巨流量攻擊,如 NTP 放大和 DNS 放大會利用此漏洞。修改來源 IP 的能力是 TCP/IP 的設計所固有的,使之成為一種持續的安全性問題。
電子詐騙與 DDoS 攻擊無關,其目的也可以是偽裝成另一種裝置,以便迴避身分驗證並獲取使用者工作階段存取權或「劫持」使用者工作階段。
雖然無法阻止 IP 詐騙,可以採取措施來阻止被冒用的封包滲透網路。詐騙的一種非常常見的抵禦措施是 BCP38 (一份最佳常見做法文件) 中概述的連入過濾。連入過濾是封包過濾的一種形式,通常在網路邊緣裝置上實施,此類裝置會檢查傳入的 IP 封包並查看他們的來源標頭。如果這些封包上的來源標頭與其原始來源標頭不相符,或者看起來很可以,封包會被拒絕。一些網路也會實行連出過濾,對網路中存在的 IP 封包進行檢查,確保這些封包有合法的來源標頭,以防止網路內的某些人使用 IP 詐騙發起外傳惡意攻擊。