6、网络层攻击与响应全解析

网络层攻击与响应全解析

1. 网络侦察与IP欺骗

在网络安全领域，很有可能有人正在使用Nmap对你的网络进行侦察。而IP欺骗是计算机安全中容易引起混淆和夸张描述的术语之一。

IP欺骗指的是故意构造一个带有伪造源地址的IP数据包。不过，需要注意的是，网络地址转换（NAT）操作虽然也会改变IP数据包的源地址，但这是一种合法的网络功能，与IP欺骗不同。NAT通常由防火墙提供，用于将内部网络隐藏在一个外部地址后面。

在IP通信中，数据包的源地址并没有内置的限制。通过使用原始套接字（一种低级编程API，可根据特定标准构造数据包），可以发送带有任意源地址的IP数据包。如果源地址在本地网络环境中不合理（例如，源地址是Verizon网络的IP，但数据包实际上是从Comcast网络发送的），则该数据包被认为是被欺骗的。

管理员可以配置路由器和防火墙，使其不转发源地址不在内部网络范围内的数据包，但许多网络并没有这样的控制措施。例如，某些默认的iptables策略中内置了反欺骗规则。

从安全角度来看，对于欺骗数据包（以及一般的IP数据包），最重要的是不能信任其源地址。实际上，有时一个完整的攻击可以通过单个欺骗数据包来实施。

需要指出的是，任何带有欺骗源地址的数据包都是“一去不复返”的，因为目标对该数据包的任何响应都会被定向到伪造的欺骗地址。不过，对于像传输层的TCP这样需要双向流量的协议，在欺骗的IP地址上是无法正常工作的。

许多安全软件（包括进攻性和防御性的）都具备欺骗源IP地址的能力。分布式拒绝服务（DDoS）工具通常将IP欺骗视为必要手段，像hping和Nmap等知名工具也可以欺骗源地址。

以下是