实验04_IP源地址欺骗攻击

ip欺骗名词解释
IP欺骗是指通过伪造、隐藏或篡改IP地址的行为，以达到欺骗、伪装身份、绕过访问限制或追踪等目的的网络行为。

IP地址是
互联网上设备的唯一标识符，它可以用于确定设备的地理位置和身
份信息。

而IP欺骗则是利用技术手段来改变或隐藏真实的IP地址，使得网络流量的源地址或目的地址看起来与实际不符。

IP欺骗可以通过多种方式实现。

其中一种方式是使用代理服务器，通过中间服务器转发网络请求，使得请求的源IP地址变为代理
服务器的IP地址，从而隐藏真实的IP地址。

另一种方式是使用虚
拟专用网络（VPN），通过在本地设备与VPN服务器之间建立加密隧道，将网络流量路由到VPN服务器上再进行转发，以改变IP地址。

IP欺骗可能会被用于不法目的，例如网络攻击、网络诈骗、黑
客入侵等。

攻击者可以利用IP欺骗来掩盖自己的真实身份，使得被
攻击的目标难以追溯或防御。

此外，IP欺骗也可能被用于绕过地理
限制或访问限制，以获取被限制的内容或服务。

为了应对IP欺骗，网络安全领域也有相应的防御措施。

例如，
网络管理员可以使用入侵检测系统（IDS）或入侵防御系统（IPS）
来监测和阻止具有欺骗性IP地址的网络流量。

此外，网络服务提供
商也可以采取一些措施，如流量过滤和IP地址验证，来减少IP欺
骗的风险。

总结来说，IP欺骗是指通过伪造、隐藏或篡改IP地址的行为，目的是欺骗、伪装身份、绕过访问限制或追踪。

它可能被用于不法
目的，但也有相应的防御措施来减少其风险。

无线网络攻击手段一．spoofing攻击1.ip spoofing：也就是IP地址欺骗，当攻击者通过假冒有效的客户端IP地址来饶过防火墙保护时，就发生了欺骗攻击。

2.mac spoofing：也就是MAC地址欺骗，原理就是攻击者通过伪装成有效的MAC地址来和合法的节点进行通信。

3.dns spoofing：攻击者用来损害域名服务器的方法，可通过欺骗DNS的高速缓存或者内应攻击实现的一种方式，通常表现为攻击者假扮合法的DNS服务器角色。

4.arp spoofing：arp协议是用来完成IP地址转换为第二层物理地址的，通过伪造IP地址和MAC地址来实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现”man in the middle”进行ARP重定向和嗅探攻击。

二．DDOS攻击DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了- 目标对恶意攻击包的"消化能力"加强了不少，这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。

你理解了DoS攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

最典型的就是SYN-FLOOD攻击，是基于TCP的三次握手协议。

三．其他攻击1.虫洞攻击：是一种主要针对网络中带防御性路由协议的严重攻击。

虚假源地址网络攻击分析案例1.1. 故障描述1. 问题描述某政府用户求助，其网络正在遭遇不明问题。

由于该用户承担重要的业务系统运营，因此，该问题对其业务稳定性有较大影响，需要尽快定位问题原因并做出相应对策。

从业务操作层面来讲，无论是内部用户还是外部用户，在访问其Web或其他服务器时，感受较慢；从技术层面做简单的Ping测试，出现如下现象：从上面的内网Ping测试结果来看，访问目标确实存在间歇性丢包现象。

从丢包结果明显看到，这与常见的网络拥塞等情况下的丢包状况不太一样。

以上信息证明，该网络的确存在问题，需要进一步分析原因。

2. 网络与应用结构描述在进行分析前，通过与技术负责人简单的交流，得知其网络大致结构如下：上面的拓扑结构简明描述了用户的网络和应用部署结构，需要说明的几点有：⏹IPS没有过多的策略定制；⏹FW对所有流量均透明；⏹流控设备仅对内部用户启用NA T，外网用户访问DMZ或DMZ流向外网数据均未做NA T；⏹用户拥有103.16.80.0/129的公网IP地址，除了路由器和流控设备使用了2个外，其他的都用在DMZ区域。

3. 内网用户访问方式描述由于本次故障分析是在内网进行，所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程。

如下图所示：假如用户A要访问OA服务器E，其访问途径为上图红色标记的1-4。

其中，流控设备作为A的NA T 设备，同时，A的数据会从流控B发送到C，然后再返回B到交换机D到E。

用户A在内网的访问IP地址变化如下：⏹发送数据包：A IP——>B:103.16.80.131——>E:103.16.80.189；⏹返回数据包：E:103.16.80.189——>B:103.16.80.131——> A IP；其中用户A的IP为私有IP地址（内网用户均使用私有IP）。

1.2. 分析方案及思路1. 基本分析思路无论是外网还是内网对DMZ区域的主机Ping操作都呈现相同现象，而内网用户区域相互Ping测试则不存在问题，所以，建议先在DMZ区域交换机D上设置端口镜像并采集和分析。

黑客攻击的常用方法剖析（2） IP欺骗攻击由于TCP/IP本身有着不安全的地方，即使是很好的实现了协议，也可以对TCP/IP网络进行攻击。

这些攻击包括序列号欺骗、路由攻击、源地址欺骗和授权欺骗。

下面介绍IP欺骗攻击方法，这种攻击是建立在攻击者的计算机（包括路由）是连接在Internet上的。

这里的攻击方法是针对TCP/IP本身的缺陷的，而不是某一具体的实现。

事实上，IP欺骗不是进攻的结果，而是进攻的手段，进攻实际上是信任关系的破坏。

1．IP欺骗原理所谓IP欺骗，无非就是伪造他人的IP地址，其实质就是让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。

IP欺骗利用了主机之间正常信任关系来发动的。

所谓信任关系就是网络上的两台计算机X和Y，Y可以利用远程登录工具，无需要口令验证就可以登录到X主机上，而登录的基础是X对Y主机IP的验证。

即X是否对Y的提供服务是基于对主机Y的IP地址的信任。

既然X、Y之间的信任关系是基于IP地址建立起来的，那么假如能够冒充Y的IP地址，就可以使rlogin登录上X，而不需要任何口令的验证。

——这就是IP欺骗的最根本的理论依据。

具体的攻击过程：（1）目标主机已选定，比如X。

其次，信任模型已被发现，并找到了一个被目标主机信任是主机，比如Y。

（2）一旦发现被信任的主机，为了伪装它，往往要使其丧失工作能力。

由于攻击者将要代替真正的被信任主机，所以它必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。

（3）使得被信任的主机（Y）丧失工作能力后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。

如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

这就是IP欺骗攻击的全过程。

攻击过程听起来很完美，但实际上却要有很多工作要做。

虽然可以通过编程的方法随意改变发出的包的IP地址，但TCP 协议对IP进行了进一步的封装（TCP协议是一种相对可靠的协议），不会让黑客轻易得逞。

IP源地址欺骗攻击一、概述
IP源地址欺骗：
◆伪造具有虚假源地址的IP数据包进行发送
◆目的：隐藏攻击者身份、假冒其他计算机
IP源地址欺骗原理：
◆路由转发只是用目标IP地址，不对源做验证
◆现实世界中的平信
◆通常情况：无法获得响应包
主要攻击手段：假冒ＩＰ攻击（盲攻击blind attack）。

盲攻击原理：
IP源地址欺骗技术的应用场景：
普遍应用场景
拒绝服务攻击：无需或不期望响应包，节省带宽，
隐藏攻击源
网络扫描(nmap -D)：将真正扫描源隐藏于一些
欺骗的源IP地址中
假冒IP攻击场景
对付基于IP地址的身份认证机制
类Unix平台上的主机信任关系
防火墙或服务器中配置的特定IP访问许可
二、实验过程：
１）在宿主机上安装Wireshark软件进行监听。

２）在虚拟机上安装Netwox工具包进行假冒ＩＰ攻击。

目标主机为宿主机。

运行netwox之后输入数字５：
输入工具编号41：
在上图中输入命令行：
-j 128 –k 1–l 172.16.55.130 –m 172.16.55.227 –o 8 其中：Ｋ后面是数字１，在数字１后面是字母Ｌ的小写；
第一个ＩＰ是假冒的ＩＰ（不一定存在）
第二个ＩＰ是目标主机的ＩＰ（宿主机的ＩＰ）。

3）在宿主机的Wireshark面板中分析源ＩＰ和目标ＩＰ，判断哪个源ＩＰ是真实的，哪个
ＩＰ是假冒出来的。

IP地址欺骗与盗用原理如今互联网的重要性越来越大，很多人也对一些知识很感兴趣，那么你知道IP地址欺骗与盗用原理吗?下面是店铺整理的一些关于IP 地址欺骗与盗用原理的相关资料，供你参考。

IP地址欺骗与盗用原理：IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难守嘛。

假设B上的客户运行rlogin与A上的rlogind通信：1. B发送带有SYN标志的数据段通知A需要建立TCP连接。

并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。

2. A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledge number设置成B 的ISN+1。

3. B确认收到的A的数据段，将acknowledge number设置成A 的ISN+1。

B ---- SYN ----> AB <---- SYN+ACK ---- AB ---- ACK ----> ATCP使用的sequence number是一个32位的计数器，从0-4294967295。

TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。

理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。

基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC。

IP欺骗攻击的描述：1. 假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv 和$HOME/.rhosts中有相关设置。

注意，如何才能知道A信任B呢?没有什么确切的办法。

中南大学TCP/IP 攻击实验实验报告学生姓名学院信息科学与工程学院专业班级完成时间2015年 11 月 29 日目录1. 实验描述 (3)2. 实验步骤 (3)环境搭建 (3)实验 1：ARP缓存中毒 (3)实验 2：ICMP重定向攻击 . (4)实验 3：SYN洪流攻击 (5)实验 4：在 telnet和ssh连接上的TCP RST攻击 (6)实验5：对视频流应用程序的TCP RST 攻击 (7)实验 6：ICMP 盲目连接重置和源端关闭攻击 (7)实验 7：TCP报文劫持 (8)3. 总结 (8)TCP/IP 攻击实验1.实验描述【实验背景】由于 TCP/IP 协议是 Internet的基础协议，所以对TCP/IP 协议的完善和改进是非常必要的。

TCP/IP 协议从开始设计时候并没有考虑到现在网络上如此多的威胁, 由此导致了许多形形色色的攻击方法，一般如果是针对协议原理的攻击( 尤其 DDOS)，我们将无能为力。

TCP/IP 攻击的常用原理有：(1)源地址欺骗(Source Address Spoofing)Spoofing)；、 IP欺骗 (IP Spoofing)和 DNS欺骗 (DNS(2)路由选择信息协议攻击 (RIP Attacks) ；(3) 源路由选择欺骗(Source Routing Spoofing)；(4) TCP 序列号欺骗和攻击(TCP Sequence Number Spoofing and Attack)。

【实验目的】基于 TCP/IP 协议进行攻击实验, 了解 TCP/IP 协议的具体机制。

2.实验步骤环境搭建这里我使用三台虚拟机做实验，其中一个用于攻击；另一个用于被攻击；第三个作为观察者使用；把三台主机放在同一个LAN中，其配置信息参照如下所示（实际在实验过程中有所改动）：这里我使用的是Wireshark工具箱的SEED实验室已经搭建好，并且已经安装好相关的Ubuntu 系统，与此同时三台虚拟机都需要打开netwoxFTP 和 Telnet工具箱和服务：使用如下命令来完成上述任务Start the ftp server#servicevsftpd startStart the telnet server#serviceopenbsd-inetd start实验 1：ARP缓存中毒【实验背景】ARP缓存是 ARP协议的重要的一部分。

什么是IP地址欺骗攻击IP地址欺骗攻击是一种网络安全威胁，旨在通过伪造或修改IP地址信息，欺骗网络系统或设备，以获取非法利益或对目标系统进行攻击。

本文将详细介绍IP地址欺骗攻击的定义、原理、类型以及防御措施，以增强读者对这一威胁的了解。

一、IP地址欺骗攻击的定义IP地址欺骗攻击（IP Address Spoofing）是指攻击者通过伪造或篡改IP数据包的源IP地址，使目标系统错误地认为攻击来源的IP地址是合法的，从而达到攻击或隐匿攻击真实来源的目的。

二、IP地址欺骗攻击的原理IP地址欺骗攻击利用了TCP/IP协议中的一些漏洞和弱点，主要包括以下几个方面：1. IP协议的不可靠性：IP协议并未对数据包的真实性进行验证，攻击者可以随意伪造IP地址。

2. 缺乏身份验证机制：在传输层和网络层中，没有涉及到对IP地址的身份验证，攻击者可以利用这一漏洞进行欺骗。

3. 源路由和逆向路径过滤失效：源路由指的是数据包在传输过程中指定的经过的路径，默认情况下，目标系统会按照这个路径返回响应信息。

而逆向路径过滤则是指系统根据数据包源地址判断其真实性，欺骗者可以通过伪造源IP地址来绕过这一机制。

三、IP地址欺骗攻击的类型根据攻击方式和目的，IP地址欺骗攻击可以分为以下几种类型：1. TCP连接欺骗：攻击者通过伪造TCP数据包的源IP地址与目的IP地址进行通信，从而使目标系统无法正常建立TCP连接。

2. DoS攻击：攻击者利用大量伪造的IP地址向目标系统发送大量请求，消耗系统资源，导致服务不可用。

3. DDoS攻击：攻击者利用网络上的多台机器（僵尸网络）同时发起DoS攻击，使目标系统无法承受巨大流量而瘫痪。

4. 源IP欺骗：攻击者伪造源IP地址，以掩盖自己的真实身份和攻击来源，使被攻击者误以为攻击来自其他合法的IP地址。

四、防御IP地址欺骗攻击的措施为了有效防御IP地址欺骗攻击，可以采取以下几项措施：1. 网络流量监测：通过监测网络流量中的异常数据包和IP地址变动，及时发现欺骗行为。

一、实验目的：了解IP协议和TCP协议的漏洞和IP欺骗和TCP会话窃用；二、实验内容：观察TCP会话劫持和TCP会话终止数据。

三、实验原理：IP欺骗就是指一个伪造的源IP地址发送分组。

通过构造源IP和目的IP地址以及源端口和目的端口相匹配的IP分组，攻击者可以利用IP欺骗向TCP数据流中发送数据段。

四、实验器材、环境配置操作及实验数据的产生：实验器材：服务器、集线器、客户端主机和攻击者主机。

环境配置：使用连接在网络中的两台台式机，一台作为合法的telnet和FTP服务器，另一台作为合法的客户端。

第三台（攻击者）连接到网络中，对合法主机进行攻击。

实验环境配置如图4-1所示图4-1 实验配置实验数据的产生：用几个合法的客户端到服务器的telnet会话，每一个telnet 会话都被第三台机器通过IP欺骗和TCP会话窃用进行攻击。

一些会话以FIN或RST 位终止，另一些会话被劫持，攻击者的数据流入到了这些会话的数据流中。

五、实验数据分析及分析步骤：TCP会话劫持数据分析：首先用Ethereal打开telnet1_hijacked.cap文件。

在分组1和分组2中可以看到SYN和SYNACK标志。

分组1是从IP地址为192.168.1.103的客户端发送到IP地址为192.168.1.101服务器的。

打开Ethernet可以看到客户端的MAC地址为00:06:5b:d5:1e:e7,服务器端的MAC地址为：00:00:c0:29:36:e8。

在SYNACK分组中，源地址和目的地址则正好相反。

图5-1 分析分组1和分组2数据这个TCP连接可用如下显示过滤器分离出来：(ip.addr eq 192.168.1.103 and ip.addr eq 192.168.1.101) and (tcp.port eq 1073 and tcp.port eq 23)的TCP连接中总共有98125个分组。

当使用一下修改过滤规则后只有98123个分组。

实验名称：网络安全综合实验实验时间： 2023年11月15日实验地点：北京航空航天大学计算机学院实验室实验人员： [姓名]一、实验目的1. 深入理解网络安全的基本概念和原理。

2. 掌握网络安全设备的配置与调试方法。

3. 熟悉网络安全攻防技术，提高安全意识。

4. 培养动手实践能力和团队合作精神。

二、实验内容本次实验主要包括以下内容：1. 路由器配置实验：学习路由器的基本配置，包括IP地址、子网掩码、默认网关等，并实现网络的互连互通。

2. APP欺骗攻击与防御实验：学习APP欺骗攻击的原理，并尝试防御此类攻击。

3. 源IP地址欺骗攻击防御实验：学习源IP地址欺骗攻击的原理，并尝试防御此类攻击。

4. DHCP欺骗攻击与防御实验：学习DHCP欺骗攻击的原理，并尝试防御此类攻击。

5. 密码实验：学习密码学的基本原理，并尝试破解简单的密码。

6. MD5编程实验：学习MD5算法的原理，并实现MD5加密程序。

7. 数字签名综合实验：学习数字签名的原理，并尝试实现数字签名程序。

8. RIP路由项欺骗攻击实验：学习RIP路由项欺骗攻击的原理，并尝试防御此类攻击。

9. 流量管制实验：学习流量管制的原理，并尝试实现流量控制。

10. 网络地址转换实验：学习网络地址转换的原理，并尝试实现NAT功能。

11. 防火墙实验：学习防火墙的配置与调试方法，并尝试设置防火墙规则。

12. 入侵检测实验：学习入侵检测的原理，并尝试实现入侵检测系统。

13. WEP配置实验：学习WEP加密协议的配置方法，并尝试破解WEP加密。

14. 点对点IP隧道实验：学习点对点IP隧道的配置方法，并尝试实现VPN功能。

三、实验步骤1. 路由器配置实验：- 搭建实验环境，连接路由器。

- 配置路由器的IP地址、子网掩码、默认网关等。

- 通过ping命令测试网络连通性。

2. APP欺骗攻击与防御实验：- 利用欺骗软件模拟APP欺骗攻击。

- 分析欺骗攻击的原理，并尝试防御此类攻击。