無論通過何種媒介,身份盜竊始終是一種威脅。所謂的 “IP 欺騙” 是惡意使用者為其黑客企圖快速獲取可信度的一種常見方式。
由於每臺計算機和伺服器都有一個唯一的識別符號(”網際網路協議” 或 IP 地址),因此幾乎所有使用網際網路的人都可能受到攻擊。IP 欺騙是一種 “偽造 “源地址(如電子郵件地址)的方法,是一種冒充技術。它的形式多種多樣,所以你必須提高警惕。
在本篇文章中,我們將討論 IP 欺騙、它是什麼、為什麼你會成為目標等問題。我們還將討論一些最常見的 IP 欺騙攻擊,以及 IP 欺騙的一些合法用途。
什麼是 IP 欺騙?
從一般意義上講,IP 欺騙是利用你在網際網路上傳送的部分資料,使其看起來像是來自合法來源。IP 欺騙是一個範圍廣泛的術語,可用於多種不同的攻擊:
- IP 地址欺騙:這是對攻擊者 IP 地址的直接混淆,以進行拒絕服務(DoS)攻擊等。
- 域名伺服器(DNS)欺騙:這會修改 DNS 的源 IP,將域名重定向到不同的 IP。
- 地址解析協議(ARP)欺騙:ARP 欺騙是一種較為複雜的攻擊。它涉及使用欺騙的 ARP 資訊將計算機的媒體訪問控制 (MAC) 地址連結到合法 IP。
說得更專業一點,IP 欺騙是在網路層面上獲取資料並更改某些可識別資訊。這使得欺騙幾乎無法被檢測到。
例如,以 DoS 攻擊為例。
這種攻擊利用一組使用欺騙 IP 地址的機器人向特定網站和伺服器傳送資料,使其離線。在這種情況下,欺騙 IP 會使攻擊難以察覺,直到為時已晚,而且事後同樣難以追蹤。
中間機器(MITM)攻擊也利用 IP 欺騙,因為 MITM 方法依賴於偽造兩個端點之間的信任。稍後我們將更詳細地討論這兩種攻擊。
IP 欺騙是如何發生的
為了更好地理解 IP 欺騙,我們先來了解一下網際網路是如何傳送和使用資料的。
每臺計算機都使用一個 IP 地址,您傳送的任何資料都被分成許多小塊(”資料包”)。每個資料包都是單獨傳輸的。一旦它們到達鏈的末端,就會被重新組合並作為一個整體呈現出來。此外,每個資料包都有可識別的資訊(”報頭”),其中包括源地址和目的地的 IP 地址。
從理論上講,這可以確保資料到達目的地時不會被篡改。然而,情況並非總是如此。
IP 欺騙會使用源 IP 標頭並更改一些細節,使其看起來像是真的。因此,即使是最嚴密、最安全的網路也會被破壞。因此,網路工程師經常試圖尋找新的方法來保護在網路上傳輸的資訊。
例如,IPv6 是一種較新的協議,它建立了加密和驗證功能。對於終端使用者來說,安全外殼(SSH)和安全套接字層(SSL)有助於減輕攻擊,但我們稍後會討論為什麼這不能根除問題。至少從理論上講,加密步驟越多,對計算機的保護就越好。
值得注意的是,IP 欺騙並不違法,這也是它盛行的原因。IP 欺騙有很多合法用途,我們將在下一節討論。因此,雖然 IP 欺騙本身讓黑客有機可乘,但它可能並不是唯一用來破壞信任的技術。
為什麼你的 IP 會成為欺騙的目標?
拋開所有道德和倫理方面的考慮,他人的使用者身份具有巨大的價值和價值。畢竟,只要有機會,很多壞人都會樂意利用別人的身份來獲取某些東西,而不受道德影響。
欺騙 IP 地址是許多惡意使用者的高價值追求。欺騙 IP 的行為並沒有多少價值,但你獲得的機會卻可能是大獎。
例如,通過 IP 欺騙,使用者可以假冒一個更可信的地址,從毫無戒心的使用者那裡獲取個人資訊(甚至更多資訊)。
這也會對其他使用者產生連鎖反應。黑客不需要欺騙每個目標的 IP,他們只需要一個就能攻破防禦。通過使用這些不勞而獲的憑證,黑客還可以獲得網路中其他人的信任,並引導他們分享個人資訊。
因此,IP 本身並不具有價值。然而,根據對欺騙 IP 的處理,回報可能是巨大的,而且通過 IP 欺騙訪問其他系統的可能性也不小。
3 種最常見的 IP 欺騙攻擊型別
IP 欺騙非常適合某些型別的攻擊。下面我們就來看看其中三種。
1. 掩蓋殭屍網路
殭屍網路是攻擊者從單一來源控制的計算機網路。每臺計算機都執行一個專用的殭屍程式,它代表壞人實施攻擊。你會發現,如果沒有 IP 欺騙,就不可能有遮蔽殭屍網路的能力。
在正常情況下,黑客通過感染(如惡意軟體)來獲得控制權。使用殭屍網路可以幫助惡意使用者實施垃圾郵件攻擊、DDoS 攻擊、廣告欺詐、勒索軟體攻擊等。這是一種對其他使用者實施有針對性的小規模攻擊的多功能方式。
造成這種情況的部分原因是 IP 欺騙。網路中的每個機器人通常都有一個欺騙 IP,這使得惡意行為者很難被追蹤到。
欺騙 IP 的主要好處是逃避執法。然而,這並不是唯一的好處。
例如,使用帶有欺騙 IP 的殭屍網路還可以阻止目標通知所有者。首先,這會延長攻擊時間,讓黑客把重點 “轉移 “到其他標記上。從理論上講,這可能會導致攻擊無限進行,以獲得最大回報。
2. 直接拒絕服務(DDoS)攻擊
如果伺服器上的惡意流量過大,導致網站癱瘓,這就是 DDoS 攻擊。對於任何網站所有者來說,這種攻擊都會造成癱瘓,但有許多方法可以減輕其影響。
本文介紹了幾種相關的欺騙攻擊和技術,它們共同構成了整個攻擊。
DNS 欺騙
首先,惡意使用者會利用 DNS 欺騙來滲透網路。惡意行為者會使用欺騙技術將與 DNS 相關的域名修改為另一個 IP 地址。
在此基礎上,你可以實施任何進一步的攻擊,但惡意軟體感染是最常見的選擇。由於惡意軟體基本上是在不被發現的情況下將流量從合法來源轉移到惡意來源,因此很容易感染另一臺計算機。從這裡開始,更多的機器將受到感染並建立殭屍網路,從而有效地實施 DDoS 攻擊。
IP 地址欺騙
在 DNS 欺騙之後,攻擊者還會進行其他 IP 地址欺騙,以幫助混淆網路中的單個殭屍。這通常遵循一個永久隨機化的過程。這樣,IP 地址就不會長時間保持不變,從而使其幾乎無法被發現和追蹤。
這種網路級攻擊對於終端使用者來說是不可能被發現的(許多伺服器端專家也會被難倒)。這是一種有效的惡意攻擊方式,不會造成任何後果。
ARP 中毒
ARP 欺騙(或 “中毒”)是進行 DDoS 攻擊的另一種方式。它比掩蓋殭屍網路和 IP 欺騙的暴力方法要複雜得多,但它同時結合了這兩種方法來實施攻擊。
其原理是針對區域網(LAN)傳送惡意 ARP 資料包,更改 MAC 表中的 IP 地址設定。這是攻擊者一次性訪問大量計算機的簡便方法。
ARP 中毒的目的是引導所有網路流量通過受感染的計算機,然後從那裡對其進行操縱。這很容易通過攻擊者的計算機實現,並讓他們在 DDoS 或 MITM 攻擊之間做出選擇。
3. MITM 攻擊
中間人機器(MITM)攻擊特別複雜,非常有效,而且對網路具有徹底的破壞性。
這些攻擊是一種在你的計算機資料到達你所連線的伺服器(如網路瀏覽器)之前截獲資料的方法。這樣,攻擊者就可以利用虛假網站與你互動,竊取你的資訊。在某些情況下,攻擊者是截獲兩個合法來源之間傳輸的第三方,這就增加了攻擊的有效性。
當然,MITM 攻擊依賴於 IP 欺騙,因為需要在使用者不知情的情況下破壞信任。此外,與其他攻擊相比,MITM 攻擊的價值更大,因為黑客可以長期收集資料並出售給他人。
MITM 攻擊的真實案例顯示了 IP 欺騙是如何發揮作用的。如果你偽造了一個 IP 地址,並獲得了個人通訊賬戶的訪問權,那麼你就可以跟蹤通訊的任何方面。從那裡,你可以偷取資訊,將使用者引向虛假網站,等等。
總的來說,MITM 攻擊是獲取使用者資訊的一種既危險又有利可圖的方式,而 IP 欺騙則是其中的核心部分。
為什麼 IP 欺騙會對網站和使用者造成危害?
由於 IP 欺騙發生在較低的網路層,因此它對網際網路上的幾乎所有使用者都構成威脅。
網路釣魚和欺騙是相輔相成的。好的欺騙攻擊不會以網路釣魚嘗試的形式出現。這意味著使用者不會有任何警惕跡象,並可能因此交出敏感資訊。
關鍵業務元素將成為主要目標,如安全系統和防火牆。這就是為什麼網站安全是許多人首要關注的問題。您不僅需要實施足夠的功能來減輕攻擊,還需要確保您的網路使用者保持警惕並使用良好的安全措施。
Wordfence 外掛是一個可靠的安全解決方案,可以幫助您防止 IP 欺騙。
不過,IP 欺騙的一個方面使遏制它變得不那麼簡單: 這種技術在網路上有許多合法的使用案例。
IP 欺騙的合法用途
由於 IP 欺騙有很多非惡意的使用情況,你幾乎無法阻止他人使用它。
例如,成千上萬的 “道德黑客 “希望為公司測試系統。這種型別的道德黑客是一種經過批准的系統入侵行為,旨在測試安全資源和強度。
這將遵循與惡意黑客相同的流程。使用者將對目標進行偵查,獲取並保持對系統的訪問許可權,並掩蓋其滲透行為。
你經常會發現,不道德的黑客會轉變為道德型別的黑客,並在他們過去可能認為是目標的公司找到工作。你甚至可以找到官方考試和認證來幫助你獲得適當的證書。
有些公司還會在與系統漏洞無關的模擬練習中使用 IP 欺騙。例如,群發郵件就是一個需要數千個 IP 地址的好案例,而這些地址都需要通過(合法的)欺騙來建立。
使用者註冊測試也使用 IP 欺騙來模擬結果。任何需要模擬眾多使用者的情況都是道德 IP 欺騙的理想案例。
為什麼無法防止 IP 欺騙?
由於欺騙非常容易被發現,而且這種方法的本質是隱藏真實身份,因此您幾乎無法阻止它的發生。不過,您可以最大限度地降低風險並消除影響。
值得注意的是,終端使用者(即客戶端機器)無法以任何方式阻止欺騙。伺服器端團隊的工作就是儘可能防止 IP 欺騙。
有幾種方法可以在黑客和潛在目標之間增加路障。目前提到的一些方法包括:
不過,您還可以做更多。例如,您可以使用 Sucuri 等專用網路應用程式防火牆 (WAF),這將有助於在網站周圍 “築起高牆”。
Sucuri Logo
您還可以實施公共關鍵基礎設施(PKI)來幫助驗證使用者和相關資料。這依賴於私鑰和公鑰的組合來加密和解密資料。由於加密的性質,黑客入侵的難度要大得多。
網路監控是一項基本技術,也可以幫助你發現 IP 欺騙或相關攻擊的跡象。這可以有多種形式,但對系統瞭解得越多,發現惡意攻擊的機會就越大。
資料包過濾也有助於打擊 IP 欺騙企圖。”輸入” 和 “輸出” 過濾會檢視輸入和輸出通訊的源頭。如果有東西沒有通過過濾,就不會影響網路內的使用者。
最後,深度資料包檢查(DPI)是一種類似的技術,也同樣有效。這種方法與其他方法相結合,甚至可以幫助加固網路或伺服器。
小結
你的 IP 地址對你來說是獨一無二的,就像今天使用的每臺計算機一樣。該地址有助於完成許多工,如身份驗證、加密等。因此,幾乎所有的 IP 地址都會成為黑客或犯罪分子的目標。
IP 欺騙會偽造地址的合法性,並利用它入侵安全網路以獲取更多利益。
修復 IP 欺騙不是終端使用者所能控制的,系統管理員也很難處理。總的來說,你只能減輕 IP 欺騙對網路的影響,而不能完全根除它。
即便如此,您還是可以為潛在的惡意使用者設定很多障礙。典型的加密方法、良好的防火牆和網路監控策略都會有所幫助。
您是否是 IP 欺騙的受害者,如果是,您是如何解決這種情況的?請在下面的評論區分享您的想法!
評論留言