指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網(wǎng),而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務(wù)器打交道。防火墻可以識別這種ip欺騙。

按照Internet Protocol(IP)網(wǎng)絡(luò)互聯(lián)協(xié)議，數(shù)據(jù)包頭包含來源地和目的地信息。 而IP地址欺騙，就是通過偽造數(shù)據(jù)包包頭，使顯示的信息源不是實際的來源，就像這個數(shù)據(jù)包是從另一臺計算機上發(fā)送的。

IP地址欺騙攻擊示意圖

• 以IP地址認(rèn)證作為用戶身份的服務(wù)
• X window system
• 遠(yuǎn)程服務(wù)系列(如遠(yuǎn)程訪問服務(wù))

在網(wǎng)絡(luò)安全領(lǐng)域，隱藏自己的一種手段就是IP欺騙--偽造自身的IP地址向目標(biāo)系統(tǒng)發(fā)送惡意請求，造成目標(biāo)系統(tǒng)受到攻擊卻無法確認(rèn)攻擊源，或者取得目標(biāo)系統(tǒng)的信任以便獲取機密信息。

這兩個目的對應(yīng)著兩種場景:

場景一，常用于DDoS攻擊(分布式拒絕攻擊)，在向目標(biāo)系統(tǒng)發(fā)起的惡意攻擊請求中，隨機生成大批假冒源IP，如果目標(biāo)防御較為薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達(dá)到攻擊者隱藏自身的目的。

這類場景里一種很有意思的特殊情景來自于"反射"式DDoS攻擊，它的特點來自于利用目標(biāo)系統(tǒng)某種服務(wù)的協(xié)議缺陷，發(fā)起針對目標(biāo)系統(tǒng)輸入、輸出的不對稱性--向目標(biāo)發(fā)起吞吐量相對較小的某種惡意請求，隨后目標(biāo)系統(tǒng)因其協(xié)議缺陷返回大量的響應(yīng)，阻塞網(wǎng)絡(luò)帶寬、占用主機系統(tǒng)資源。這時如果攻擊者的請求使用真實源地址的話，勢必要被巨大的響應(yīng)所吞沒，傷及自身。這樣，攻擊者采取IP欺騙措施就勢在必行了。

場景二，原本A主機信任B主機，也就是B可以暢通無阻地獲取A的數(shù)據(jù)資源。而惡意主機C為了能同樣獲取到A的數(shù)據(jù)，就需要偽裝成B去和A通信。這樣C需要做兩件事:第一、讓B"把嘴堵上"，不再向A吐請求，比如向B主機發(fā)起DoS攻擊(拒絕服務(wù)攻擊)，占用B的連接使其無法正常發(fā)出網(wǎng)絡(luò)包;第二、偽裝成B的IP和A交互。

IP欺騙的防范，一方面需要目標(biāo)設(shè)備采取更強有力的認(rèn)證措施，不僅僅根據(jù)源IP就信任來訪者，更多的需要強口令等認(rèn)證手段;另一方面采用健壯的交互協(xié)議以提高偽裝源IP的門檻。

有些高層協(xié)議擁有獨特的防御方法，比如TCP(傳輸控制協(xié)議)通過回復(fù)序列號來保證數(shù)據(jù)包來自于已建立的連接。由于攻擊者通常收不到回復(fù)信息，因此無從得知序列號。不過有些老機器和舊系統(tǒng)的TCP序列號可以被探得。