IP地址欺騙是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種黑客的攻擊形式，黑客使用一臺(tái)計(jì)算機(jī)上網(wǎng),而借用另外一臺(tái)機(jī)器的IP地址,從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道。

　　IP地址欺騙包括源地址欺騙和序列號(hào)欺騙，是最常見的攻擊TCP／IP協(xié)議弱點(diǎn)的方法之一。主要的攻擊對(duì)象是基于IP地址鑒別的網(wǎng)絡(luò)應(yīng)用。如UNIX系統(tǒng)中的R系列服務(wù)。

　　1、信任關(guān)系

　　在UNIX系統(tǒng)中，信任關(guān)系能夠很容易得到，假設(shè)在主機(jī)A和B上各有一個(gè)帳戶，在使用主機(jī)A時(shí)，需要輸入主機(jī)A上的帳戶及密碼，使用主機(jī)B時(shí)，同樣也必須輸人在主機(jī)B上的帳戶及密碼，主機(jī)A和B把你當(dāng)作兩個(gè)互相關(guān)的用戶，顯然這有些不便。為減少這種不便，口以在主機(jī)A和主機(jī)B中建立起兩個(gè)帳戶的相互信任關(guān)系。有r這種信任關(guān)系，就可以方便地使用任何以R開頭的遠(yuǎn)程調(diào)用命令，如；rlogin、rcall、rsh等，而無(wú)口令驗(yàn)證的煩惱。這些命令將提供以地址為基礎(chǔ)的驗(yàn)證，根據(jù)訪問(wèn)者的IP地址，決定允許或拒絕存取服務(wù)，即信仟關(guān)系是基于IP地址的。

　　2、TCP序列號(hào)猜測(cè)

　　TCP連接的建立包括一個(gè)三次握手的過(guò)程，由于在某系統(tǒng)中序列號(hào)Y的產(chǎn)生規(guī)相對(duì)簡(jiǎn)單，就有_r安全隱患如果攻擊者解主機(jī)A和B之間建立了信任關(guān)系，在A不能正常工作時(shí)，假冒主機(jī)A的II地址，向主機(jī)B發(fā)送建立TCP連接的請(qǐng)求包，這時(shí)如果攻擊者能夠猜出主機(jī)B確認(rèn)包中的序列號(hào)Y，就可以假冒主機(jī)A與主機(jī)B建立TCP連接。然后通過(guò)傳送可執(zhí)行的命令數(shù)據(jù)，侵入主機(jī)B中(如下圖所示)。

　　防止此類IP地址欺騙攻擊的要點(diǎn)在于，初始序列號(hào)變量在系統(tǒng)中的改變速度和時(shí)間間隔，通過(guò)合理的設(shè)置，可以使攻擊者無(wú)法準(zhǔn)確地預(yù)測(cè)數(shù)據(jù)序列號(hào)。還可以采用(1)拋棄基于地址的信任策略，不允許R類遠(yuǎn)程調(diào)用命令的使用，刪除rhosts文件；清空／etc／hosts．equic文件。這將使所有用戶使用其它遠(yuǎn)程通信手段。(2)進(jìn)行包過(guò)濾：若網(wǎng)絡(luò)是經(jīng)路由器接入lnternet的那可以利用路由器來(lái)進(jìn)行包過(guò)濾。確信只有內(nèi)部LAN可以使用信任關(guān)系，而對(duì)于LAN以外的主機(jī)要慎重處理。路由器可以濾掉所有來(lái)自于外部而希望與內(nèi)部建立連接的請(qǐng)求。(3)使用加密方法：防止II欺騙最明顯的方法就是在通信時(shí)要求加密傳輸和驗(yàn)證。(4)使用隨機(jī)化的初始序列號(hào)：攻擊者之所以能夠達(dá)到攻擊目的，一個(gè)重要因素就是序列號(hào)不是隨機(jī)選擇的或隨機(jī)增加的，所以，使用隨機(jī)化的序列號(hào)能有效防止攻擊。