网络层攻击与响应全解析
1. 网络侦察与IP欺骗
在网络安全领域,很有可能有人正在使用Nmap对你的网络进行侦察。而IP欺骗是计算机安全中容易引起混淆和夸张描述的术语之一。
IP欺骗指的是故意构造一个带有伪造源地址的IP数据包。不过,需要注意的是,网络地址转换(NAT)操作虽然也会改变IP数据包的源地址,但这是一种合法的网络功能,与IP欺骗不同。NAT通常由防火墙提供,用于将内部网络隐藏在一个外部地址后面。
在IP通信中,数据包的源地址并没有内置的限制。通过使用原始套接字(一种低级编程API,可根据特定标准构造数据包),可以发送带有任意源地址的IP数据包。如果源地址在本地网络环境中不合理(例如,源地址是Verizon网络的IP,但数据包实际上是从Comcast网络发送的),则该数据包被认为是被欺骗的。
管理员可以配置路由器和防火墙,使其不转发源地址不在内部网络范围内的数据包,但许多网络并没有这样的控制措施。例如,某些默认的iptables策略中内置了反欺骗规则。
从安全角度来看,对于欺骗数据包(以及一般的IP数据包),最重要的是不能信任其源地址。实际上,有时一个完整的攻击可以通过单个欺骗数据包来实施。
需要指出的是,任何带有欺骗源地址的数据包都是“一去不复返”的,因为目标对该数据包的任何响应都会被定向到伪造的欺骗地址。不过,对于像传输层的TCP这样需要双向流量的协议,在欺骗的IP地址上是无法正常工作的。
许多安全软件(包括进攻性和防御性的)都具备欺骗源IP地址的能力。分布式拒绝服务(DDoS)工具通常将IP欺骗视为必要手段,像hping和Nmap等知名工具也可以欺骗源地址。
以下是
