攻击与威胁
IP 欺骗
别称: 源地址欺骗
定义
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
IP 欺骗修改 IP 包头中的源地址字段,使数据包看起来来自另一台主机。攻击者借此绕过基于地址的访问控制列表、实施盲式 TCP 攻击、隐藏真实来源,或发动反射与放大型洪水攻击,将无辜第三方的响应淹没到受害者身上。防御主要依赖网络运营商:基于 BCP 38/SAVI 的入口过滤、路由器上的 uRPF、边界反欺骗规则,以及在更上层使用 TLS、IPsec 等已认证协议来抵消下游的伪装。
示例
- 以受害者 IP 为源的 DNS、NTP 反射放大攻击。
- 用可信合作伙伴的 IP 发送请求以绕过内部白名单。
相关术语
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
DNS 放大攻击
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
NTP 放大攻击
利用 NTP 的 MONLIST 等命令实施的反射型 DDoS,使 NTP 服务器向伪造的受害者地址返回体积巨大的数据包。
Smurf 攻击
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
MAC 欺骗
将网卡的硬件 MAC 地址改写为攻击者选择的值,用以冒充其他设备、绕过 MAC 访问控制或规避追踪。