及關(guān)鍵業(yè)務(wù)，例如安全系統(tǒng)和防火墻，這就是企業(yè)這么重視網(wǎng)站安全的原因。企業(yè)不僅需要足夠強(qiáng)大的安全功能來(lái)緩解攻擊，還需要確保當(dāng)前網(wǎng)絡(luò)下用戶的警惕性，避免被攻擊者趁虛而入。

IP 欺騙的合法用途

上文我們提到，IP欺騙難以控制是由于它的合法性：其合法用途具有一定價(jià)值和無(wú)可替代性。

例如，在網(wǎng)站性能測(cè)試中，需要?jiǎng)?chuàng)建成百上千的“用戶”（虛擬用戶）執(zhí)行測(cè)試網(wǎng)站的測(cè)試腳本，以模擬當(dāng)系統(tǒng)上線和大量用戶立刻登錄時(shí)的預(yù)發(fā)情況。由于每個(gè)用戶都會(huì)有自己的IP地址，商業(yè)測(cè)試產(chǎn)品可以使用IP欺騙，允許每個(gè)用戶自己的“返回地址”。

一些公司還將在與系統(tǒng)漏洞無(wú)關(guān)的模擬練習(xí)中使用 IP 欺騙。例如，通過(guò)創(chuàng)建數(shù)千個(gè)?IP 地址來(lái)群發(fā)郵件；使用 IP 欺騙來(lái)模擬用戶注冊(cè)測(cè)試結(jié)果。也就是說(shuō)，任何需要模擬許多用戶的情況都可能會(huì)用到?IP 欺騙。

如何防止 IP 欺騙?

每起網(wǎng)絡(luò)攻擊事件平均給企業(yè)造成200,000美元的損失。由于 IP 欺騙是最容易發(fā)起的攻擊之一，也是最具破壞性的攻擊之一，因此加強(qiáng)IP欺騙的防范是有意義的。

禁止基于IP的信任關(guān)系。

IP欺騙的原理是冒充被信任主機(jī)的IP地址，這種信任關(guān)系建立在基于IP地址的驗(yàn)證上。如果禁止IP地址的信任關(guān)系，不允許R+類遠(yuǎn)程調(diào)用命令的使用，刪除rhosts文件，并且清空/etc/hosts.equiv文件，使所有用戶通過(guò)其他遠(yuǎn)程方式（如Telnet）等進(jìn)行遠(yuǎn)程訪問(wèn)，可以有效防止IP欺騙。

安裝過(guò)濾路由器。

如果需要通過(guò)路由器接入Internet，可以利用路由器進(jìn)行過(guò)濾。確信只有用戶的內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN之外的主機(jī)要慎重處理。通過(guò)對(duì)信息包的監(jiān)控來(lái)檢查IP欺騙攻擊是非常有效的方法之一，使用監(jiān)控工具檢查外接口的上包情況，如果發(fā)現(xiàn)兩個(gè)地址都是本地域地址，就意味著有人要試圖攻擊，而這種監(jiān)控正建立在IP地址溯源之上【https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088】

使用IP加密。

在通信時(shí)要求加密傳輸和驗(yàn)證，當(dāng)有多個(gè)手段并存時(shí)，加密是最有效的方法。

使用隨機(jī)的初始序列號(hào)。

IP欺騙的另一個(gè)重要因素是初始序列號(hào)不是隨機(jī)選擇或隨機(jī)增加的。如果能夠分割序列號(hào)空間，第一個(gè)鏈接有自己的獨(dú)立序列號(hào)空間，序列號(hào)仍然按照之前的方式增加，但是這些序列號(hào)空間中沒(méi)有明顯的關(guān)系。