基于 IP 偽造的網絡安全攻擊有哪些

基于IP偽造的網絡安全攻擊有以下這些：

• 非盲型偽造攻擊：這種攻擊類型通常發生于攻擊者和受害者位于同一個子網的情況下。數據報文的序列號和確認號可通過嗅探獲得，免除了序列號預測和計算的難題。這類IP偽造攻擊的最大威脅是會話劫持，其做法是破壞一個正在進行的TCP連接，并通過其他方式使該合法連接的一方處于無法響應的狀態，然后攻擊者利用嗅探等手段獲得關于該次通信的序列號和確認號等信息，假冒合法客戶端，與該次通信的服務器方重新建立TCP連接。通過這種技術，攻擊者可以成功地繞開建立相關TCP連接時必須完成的認證措施。

• 盲型偽造攻擊：非盲型偽造攻擊需要攻擊者和受 害者在同一個子網的環境下才能進行，容易暴露身份。盲型偽造攻擊不需要攻擊者和受害者位于同一個子網，但需要某種序列號預測方法。如前所述，現在絕大部分操作系統都實現了隨機序列號生成技術，精確預測變得非常困難。但如果序列號不幸被預測到了，隨后的攻擊還是不可避免的。

• 中間人攻擊：中間人攻擊是網絡安全領域經常被提及的一種攻擊方式，在這種攻擊中，攻擊者試圖去劫持兩個合法用戶之間的正常通信，隨后攻擊者就可以控制通信的過程，他可以截獲被攻擊者雙方的數據報文，并使報文無法再投遞到通信的另一方；他也可以只做數據的拷貝，同時數據還可以正常到達其目的地；還可以將數據進行一番修改后再繼續發給其目的地，但是這樣的修改，無論是原數據的發送方和接收方都不知曉。通過這種攻擊手段，攻擊者可以竊取受害者的機密信息。很顯然，前面討論的兩種偽造手段，在中間人攻擊中都可以用到。

• 拒絕服務攻擊：現如今，IP偽造更多應用于拒絕服務攻擊中，在流量洪泛式拒絕服務攻擊中，其攻擊的目標是用巨量的網絡流量去淹沒攻擊目標，攻擊者并不關心攻擊目標對攻擊報文的響應。在拒絕服務攻擊中，IP偽造主要是IP源地址的偽造。

• 其他攻擊：根據不同的場景和需要，IP偽造還可以實現其他一些攻擊，比如源路由攻擊，攻擊者可以偽造IP地址并在數據報中設置源路由選項，以此繞過網絡訪問控制；客戶端攻擊，當客戶端發出請求時，攻擊者偽造一個服務器的響應消息（如DNS欺騙）；服務器攻擊，攻擊者偽造客戶端的IP地址，從而繞過訪問控制的限制，獲得對服務器的訪問。很顯然，上述攻擊本質上是非盲型偽造中所討論的會話劫持的不同具體應用。

防御IP偽造網絡攻擊的方法有以下這些：

• 更改隱私設置：用戶設備上安裝的大多數應用是黑客進行IP地址攻擊的主要渠道，特別是一些即時消息應用程序允許黑客查看用戶的連接詳細信息。專家建議用戶將所有應用的隱私設置保持為”私密”，并避免接收來自未知ID的呼叫。這將創建一個安全屏障，黑客將無法輕松訪問用戶的IP地址。

• 選擇動態IP地址：大多數游戲玩家和網站所有者選擇靜態IP地址而非動態IP地址。但實際上動態IP地址一直在不斷變化，對黑客來說是一個不太容易攻擊的目標。靜態IP地址在一段時間內保持不變，這就讓黑客有足夠的時間對其進行解碼。因此，最好選擇動態IP地址以減少黑客攻擊的可能性。

• 使用虛擬專用網絡（VPN）：虛擬專用網絡(VPN)是與網絡世界連接的最安全方式。它能夠幫助偽裝用戶的原始身份和位置，并允許從遠程服務器訪問網絡。這樣黑客就無法訪問用戶的原始IP地址，VPN還為用戶的所有在線活動提供加密隧道。無論使用私人連接訪問互聯網還是使用公共Wi-Fi，VPN都可確保用戶完全在線安全。唯一的缺點是許多免費的VPN服務并不像我們想象的那樣安全。

• 保護和路由器：除了保護好用戶設備的安全性，網絡連接所用的路由器同樣如此。因此，安全起見，必須在路由器上安裝防火墻和防病毒軟件，并保持最新狀態。安全軟件不僅可以保護IP地址免遭盜竊，還可以警告設備上的任何網絡釣魚和間諜活動。通過這種方式，用戶可以隨時了解任何可疑活動。

• 使用強密碼：大多數人都不會更改他們的互聯網連接設備的默認密碼，但實際上，默認密碼是最容易被解碼的。專家建議不定期更改設備密碼。創建高強度且唯一的密碼也是必不可少的，盡量不要選擇家庭成員的姓名和紀念日期等作為密碼。強密碼包括字符、數字、大寫和小寫字母的組合，破解起來難度很高。

回答所涉及的環境：聯想天逸510S、Windows 10。