注意IP地址拐骗的一些问题[网络技术]

IP包一旦从网络中发送出去,源IP地址就几近不用,仅在中间路由器因某种缘由丢弃它或到达目标端后,才被利用.这使得一个主机可以利用别的主机的IP地址发送IP包,只要它能把这类IP包放到网络上便可以.因而,假如攻击者把自己的主机假装成被目标主机信任的好友主机,即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址,操纵主机间的信任关系和这种信任关系的实际认证中存在的脆弱性(只通过IP确认),便可以对信任主机举行攻击.注意此中所说的信任关系是指一个被受权的主机可以对信任主机举行便利的拜候.比方Unix中的全部的R*号令都采失信任主机筹划,所以一个攻击主机把自己的IP改成被信任主机的IP,便可以衔接到信任主机,并能操纵R*号令开后门到达攻击的目的.

想要实现IP地址拐骗要注意以下两个问题:

1.因为远程主机只向假造的IP地址发送应答信号,攻击者不大概收到远程主机发出的信息,即用C主机假充B主机IP,衔接远程主机A,A主机只向B主机发送应答信号,C主机无法收到;

2.要在攻击者和被攻击者之间成立衔接,攻击者需求利用精确的TCP序列号.

攻击者利用IP地址拐骗的目的主要有两种:

1.只想躲藏自身的IP地址或假造源IP和目的IP相同的不正常包,而并不关心能否能收到目标主机的应答,比方IP包碎片、Land攻击等;

2.假装成被目标主机信任的友好主机得到非受权的服务.办理办法:目前最抱负的办法是利用防火墙,防火墙决意能否答应外部的IP数据包进入局域网,对来自外部的IP数据包举行查验.假定来自外部的数据包声称有内部地址,它一定是拐骗包.假如数据包的IP地址不是防火墙内的任何子网,它就不能脱离防火墙.