网络攻击及防范之欺骗攻击

3.2.6 网络攻击及防范

1.欺骗攻击

欺骗攻击是通过伪造数据从而获得不当优势的一类攻击方式。由于互联网广泛使用的TCP/IP协议存在的安全缺陷，攻击者通过伪造源于可信任地址的数据包，可欺骗目标系统获得权限或操作目标系统。欺骗攻击是一种攻击类型的统称，常见的实现方式有：IP欺骗(IP spoofing)，ARP欺骗(ARP Spoofing)、DNS欺骗(DNS Spoofing)以及TCP会话劫持(TCP Hijack)等。

1) IP欺骗

互联网中的两台计算机经过认证后相互信任，当其中一台计算机收到来自另外一台计算机的数据包，如果符合相应的规则，那么这个数据包中的数据就会被接收并处理。IP欺骗就是利用这一点来实现的，向目标主机发送源地址为已经建立信任关系主机的lP报文，冒充其他主机对目标主机进行IP欺骗。IP欺骗攻击能否成功的关键在于数据报文中的会话序号是否正确。

实施IP其骗攻击前需要进行两个前置步骤，一是获得目标主机与被冒充主机之间会话的序号，这是IP欺骗攻击能否成功的关键，通常实现方式是通过反复尝试与目标主机建立连接的方式，分析目标主机序数的生成算法，进而猜测出可能的会话序数。二是使被冒充主机无法响应目标主机的数据包，通常采取的方式是对被冒充主机实施拒绝服务攻击，使该主机暂时无法处理连接数据。

针对IP欺骗的防御方式是使用抗IP欺骗的产品或对网络设备进行配置，拒绝来自外部端苦值源地址却是本地地址的数据包。当然，如果某种原因信任了某个外部主机，网络设备不会阻止声明源于这台信任主机的欺骗攻击。