如何防止IP欺骗
如今的网络安全越来越重要,不仅要防止恶意用户的钓鱼式攻击,还得防止其用溢出工具或IP欺骗进行非法活动,如果一但让其得手,那企业付出的代价将是不菲的。身为企业网管或个人用户只有在深入了解了IP欺骗原理后才能对其进行更好的防御。
IP简述
普通用户在网络协议中最常用到的要数TCP/IP协议和UDP协议,两者都是通过IP层交换数据包来进行规则通信,而IP在网络层中占据生要地位是不容替代的,其接收由最低层(网络接口层如以太网设备驱动程序)发来的数据包,并把该数据包转发到更高层——-TCP或UDP层,或者将接收到的TCP或UDP层的数据包传送到更低层,不区分数据包发送的先后顺序,不检查数据包的完整性,虽然IP确认中包含一个IPsourcerouting,但此选项是为了测试而存在,可以用来指定发送它的主机的地址(源地址)和接收它的主机的地址(目的地址),此点造成了被恶意用户用来欺骗系统进行平常被禁止的连接,使许多依靠IP源地址做确认的服务产生问题,并且很容易让恶意用户利用虚假数据包对其进行欺骗式入侵,因此IP数据包是不可靠的,是对信任关系的一种破坏。
IP欺骗过程
IP欺骗由多个过程进行组合分工,当恶意用户选择了一台远程目标信任主机,其信任机制在被充份掌握的情况下对其下手,使目标机失去工作能力,并提取目标机发出的TCP序列号进行猜测数据序列号,成功后开始伪装被信任的远程计算机,同时建立基于地址验证的连接,连接一旦成功,恶意用户就会取代被信任主机的角色,使用相关命令放置后门程序,进行一系列的恶意行动。
为了不被信任主机所发现,网络中著名的TCPSYN淹没就是利用客户端向服务器发送SYN请求,服务器返回一个SYN/ACK信号,一但数据超出TCP处理模块内的SYN请求上限,那超出队列长度的数据连接请求将会被拒绝,此时恶意用户就会利用这一特性向目标机的TCP端口发送大量的合法的虚拟IP地址,而目标机随即回应信号,但信号却无法连接到主机,此时IP包通知受攻击的主机TCP无法到达,但主机TCP层却认为是网络连接暂时错误,并尝试再次连接,直到确信无法连接,而大量的SYN请求却是一波接着一波,将其TCP队列排的满满的。此时给IP欺骗嬴取了时间使恶意用户堂而皇之的使用此IP地址进行欺骗。