摘要:
第一,采用源IP地址验证机制。这包括对进入系统的数据包进行源IP地址检查,确保其与预期一致。可以使用欺骗源IP地址检测算法,识别可疑的IP地址。第二,实施动态IP地址分配。通过DH... 第一,采用源 IP 地址验证机制。这包括对进入系统的数据包进行源 IP 地址检查,确保其与预期一致。可以使用欺骗源 IP 地址检测算法,识别可疑的 IP 地址。
第二,实施动态 IP 地址分配。通过 DHCP 等技术,为用户分配随机 IP 地址,降低被攻击者预测和伪造的风险。
第三,部署 VPN 技术。VPN 可以为用户提供加密通道,有效阻止 IP 地址欺骗攻击。VPN 还能实现双向身份验证,进一步提高安全性。
还可以结合其他防御手段,如入侵检测系统、honeypot 等,构建多层次的 IP 地址欺骗防御体系。
IP 地址欺骗是指黑客伪造自己的 IP 地址,以逃避追查和绕过安全措施。而同一时间多地登陆则是指用户在不同位置同时登录到同一账户。这两种情况虽然都可能导致账户安全问题,但产生的原因和应对措施有所不同。
对于 IP 地址欺骗,重点在于源 IP 地址的验证和防御;而对于多地登陆,则需要从用户行为监控、异常登录检测等方面着手,以识别和阻止不法分子的入侵。
IP欺骗攻击与防范
ARP欺骗原理和ARP欺骗解决方案目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是做为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。 从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。 不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。 为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。 如果出现这种问题,一般有如下几个特点:1、局域网内部所有的(或者大多数)PC都ping不通网关地址,无法上网;但是网卡、交换机的连接指示灯都是正常的。 2、由于Windows系统默认的ARP timeout时间较长,即便是立刻找出了是哪个PC搞的鬼,只关闭该PC也无法立刻解决问题,还需要在客户PC上清空ARP表[在CMD模式下执行arp /d]重新学习或者干脆重启PC才行。 3、虽然这些ARP欺骗是仿冒了路由器网口的MAC的地址,但实际上它们并不需要真的把自己网卡的ip/ mac设置的和路由器一样,所以路由器上通常不会有地址冲突的告警提示。 要确认该问题方法也很简单,在确保局域网交换机正常工作和网线正常连接的情况下,随便找个不能上网的PC,打开CMD命令行界面,执行arp /a,察看网关ip地址对应的mac是否是路由器的网口的mac地址,如果不是,那么基本可以确定是ARP欺骗了。 例如:这是PC端的ARP表项:C:\ arp /aInterface: 192.168.19.180 --- 0x2Internet Address Physical Address Type192.168.0.3 00-90-27-a7-ad-00 dynamic192.168.0.1 00-e0-0f-58-cc-1c (路由器以太网口的MAC地址信息) dynamic192.168.0.10 00-0a-5e-04-72-50 dynamic再查看路由器以太网口的MAC地址信息:00-e0-0f-58-cc-1c 192.168.0.1,如果上面所查看到的不是Router的MAC,说明有人在故意扰乱。 如果是ARP问题,通常会导致全网不通的掉线,影响很大,也很容易发现和定位。 应急处理的方法和不难,前面已经说过。 对于预防的方法,可以在每个PC上使用CMD命令:arp -s 192.168.1.6 00-e0-0f-62-c6-09来绑定静态的ARP表项,但是每个PC都要配置,实施、维护起来比较麻烦。 每次开机都会重新绑定静态的ARP表项,所以很麻烦,可以新建一个批处理文件如static_,注意后缀名为bat。 编辑它,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。 打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_复制到里面去,以后电脑每次启动时就会自己执行arp –s命令了。 在路由器上面也有ARP静态绑定的命令,但是ARP欺骗的是仿冒网关的身份去欺骗局域网的PC,所以在路由器上绑定各个PC的mac地址意义不大。 不过这种方式倒是可以防止局域网PC乱改ip地址。 arp病毒原理及解决办法arp病毒原理及解决办法arp病毒入侵网络,使大多网吧及家庭都陷入苦难!!中招现象:掉线~~~~~~` 在这里我在网上到的相关资料,网络高手的研究一下~~ 解决arp攻击的方法 【故障原因】 局域网内有人使用arp欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。 【故障原理】 要了解故障原理,我们先来了解一下arp协议。 在局域网中,通过arp协议来完成ip地址转换为第二层物理地址(即mac地址)的。 arp协议对网络安全具有重要的意义。 通过伪造ip地址和mac地址实现arp欺骗,能够在网络中产生大量的arp通信量使网络阻塞。 arp协议是“address resolution protocol”(地址解析协议)的缩写。 在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的mac地址的。 在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的mac地址。 但这个目标mac地址是如何获得的呢?它就是通过地址解析协议获得的。 所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。 arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。 每台安装有tcp/ip协议的电脑里都有一个arp缓存表,表里的ip地址与mac地址是一一对应的,如下表所示。 主机 ip地址 mac地址 a 192.168.16.1 aa-aa-aa-aa-aa-aa b 192.168.16.2 bb-bb-bb-bb-bb-bb c 192.168.16.3 cc-cc-cc-cc-cc-cc d 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机a(192.168.16.1)向主机b(192.168.16.2)发送数据为例。 当发送数据时,主机a会在自己的arp缓存表中寻找是否有目标ip地址。 如果找到了,也就知道了目标mac地址,直接把目标mac地址写入帧里面发送就可以了;如果在arp缓存表中没有找到相对应的ip地址,主机a就会在网络上发送一个广播,目标mac地址是“”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的mac地址是什么?”网络上其他主机并不响应arp询问,只有主机b接收到这个帧时,才向主机a做出这样的回应:“192.168.16.2的mac地址是bb-bb-bb-bb-bb-bb”。 这样,主机a就知道了主机b的mac地址,它就可以向主机b发送信息了。 同时它还更新了自己的arp缓存表,下次再向主机b发送信息时,直接从arp缓存表里查找就可以了。 arp缓存表采用了老化机制,在一段时间内如果表中ARP病毒入侵网络 近些天,ARP病毒入侵网络,使大多网吧及家庭出现现象:掉线~~~~~~` 在这里我在网上到的相关资料,网络高手的研究一下~~ 解决ARP攻击的方法 【故障原因】 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。 ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。 在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。 在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。 但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。 当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。 如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。 这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。 同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。 对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。 如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。 这不正好是D能够接收到A发送的数据包了么,嗅探成功。 A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。 因为A和C连接不上了。 D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”,进行ARP重定向。 打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。 不过,假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。 不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。 现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。 当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 【HiPER用户快速发现ARP欺骗木马】 在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示): MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。 【在局域网内查找病毒主机】 在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:)工具来快速查找它。 NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。 命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即 192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。 输出结果第一列是IP地址,最后一列是MAC地址。 NBTSCAN的使用范例: 假设查找一台MAC地址为“000d870d585f”的病毒主机。 1)将压缩包中的 和解压缩放到c:下。 2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。 C:Documents and SettingsALAN C: btscan -r 192.168.16.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.16.1/24 IP address NetBIOS Name Server User MAC address ------------------------------------------------------------------------------ 192.168.16.0 Sendto failed: Cannot assign requested address 192.168.16.50 SERVER 00-e0-4c-4d-96-c6 192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88 192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.16.175 JC 00-07-95-e0-7c-d7 192.168.16.223 test123 test123 00-0d-87-0d-58-5f 3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 【解决思路】 1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC-- IP对应表,不要让主机刷新你设定好的转换表。 3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。 通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。 确保这台ARP服务器不被黑。 5、使用proxy代理IP的传输。 6、使用硬件屏蔽主机。 设置好你的路由,确保IP地址能到达合法的路径。 (静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。 8、管理员定期轮询,检查主机上的ARP缓存。 9、使用防火墙连续监控网络。 注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。 【HiPER用户的解决方案】 建议用户采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定路由器的IP和MAC地址: 1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址 )。 2)编写一个批处理文件内容如下: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows--开始--程序--启动”中
ip地址欺骗的基本原理
IP地址欺骗的基本原理是攻击者通过伪造或篡改IP地址,使其网络通信看起来像是来自其他设备或用户,从而掩盖其真实身份并实施恶意行为。 具体来说,攻击者可以采取以下几种方式:1. **伪造IP地址**:攻击者可以直接伪造数据包中的源IP地址,将其设置为目标主机或其他合法用户的IP地址,从而冒充这些设备进行网络通信。 2. **篡改IP地址**:攻击者还可能在网络中嗅探数据包,并篡改其中的源IP地址字段,使原本属于其他设备的数据包看起来像是来自攻击者控制的设备。 3. **利用代理服务器**:攻击者还可能利用代理服务器进行IP地址欺骗,通过代理服务器转发请求并隐藏其真实IP地址,增加追踪和防御的难度。 4. **利用协议漏洞**:攻击者还可能利用网络通信协议中的漏洞,如源路由选项等,来绕过网络安全措施,实现IP地址欺骗。 通过上述方式,攻击者可以掩盖其真实身份,绕过网络安全防护,实施非法访问、数据窃取、恶意攻击等行为,对个人、企业和国家的网络安全构成严重威胁。 因此,防范IP地址欺骗需要综合考虑技术措施、安全策略、用户教育和应急响应等多个方面,以建立完善的网络安全体系。
如何利用“IP地址欺骗”
深入分析研究防火墙技术,利用防火墙配置和实现 的漏洞,可以对它实施攻击。 通常情况下,有效的攻击都是从相关的子网进行的,因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。 突破防火墙系统最常用的方法是IP地址欺骗,它同时也是其他一系列攻击方法的基础。 之所以使用这个方法,是因为IP自身的缺点。 IP协议依据IP头中的目的地址项来发送IP数据包。 如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地。 如果目的地址不在本地网络内,该IP包就会被发送到网关,再由网关决定将其发送到何处。 这是IP路由IP包的方法。 IP路由IP包时对IP头中提供的IP源地址不做任何检查,并且认为IP头中的IP源地址即为发送该包的机器的IP地址。 当接收到该包的目的主机要与源主机进行通讯时,它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址,来与源主机进行数据通讯。 IP的这种数据通讯方式虽然非常简单和高效,但它同时也是IP的一个安全隐患,很多网络安全事故都是因为IP这个的缺点而引发的。 黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,这种类型的攻击是非常危险的。 关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。 只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。 通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。 具体分三个步骤:主机A产生它的ISN,传送给主机B,请求建立连接;B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;A再将B传送来ISN及应答信息ACK返回给B。 至此,正常情况,主机A与B的TCP连接就建立起来了。 B ---- SYN ----> AB <---- SYN+ACK ---- AB ---- ACK ----> A假设C企图攻击A,因为A和B是相互信任的,如果C已经知道了被A信任的B,那么就要相办法使得B的网络功能瘫痪,防止别的东西干扰自己的攻击。 在这里普遍使用的是SYN flood。 攻击者向被攻击主机发送许多TCP- SYN包。 这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址,而是攻击者自己填入的IP地址。 当被攻击主机接收到攻击者发送来的TCP-SYN包后,会为一个TCP连接分配一定的资源,并且会以接收到的数据包中的源地址(即攻击者自己伪造的IP地址)为目的地址向目的主机发送TCP-(SYN+ACK)应答包。 由于攻击者自己伪造的IP地址一定是精心选择的不存在的地址,所以被攻击主机永远也不可能收到它发送出去的TCP-(SYN+ACK)包的应答包,因而被攻击主机的TCP状态机会处于等待状态。 如果被攻击主机的TCP状态机有超时控制的话,直到超时,为该连接分配的资源才会被回收。 因此如果攻击者向被攻击主机发送足够多的TCP-SYN包,并且足够快,被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于服务拒绝状态。 并且即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。 当B的网络功能暂时瘫痪,现在C必须想方设法确定A当前的ISN。 首先连向25端口,因为SMTP是没有安全校验机制的,与前面类似,不过这次需要记录A的ISN,以及C到A的大致的RTT(round trip time)。 这个步骤要重复多次以便求出RTT的平均值。 一旦C知道了A的ISN基值和增加规律,就可以计算出从C到A需要RTT/2 的时间。 然后立即进入攻击,否则在这之间有其他主机与A连接,ISN将比预料的多。 C向A发送带有SYN标志的数据段请求连接,只是信源IP改成了B。 A向B回送SYN+ACK数据段,B已经无法响应,B的TCP层只是简单地丢弃A的回送数据段。 这个时候C需要暂停一小会儿,让A有足够时间发送SYN+ACK,因为C看不到这个包。 然后C再次伪装成B向A发送ACK,此时发送的数据段带有Z预测的A的ISN+1。 如果预测准确,连接建立,数据传送开始。 问题在于即使连接建立,A仍然会向B发送数据,而不是C,C仍然无法看到A发往B的数据段,C必须蒙着头按照协议标准假冒B向A发送命令,于是攻击完成。 如果预测不准确,A将发送一个带有RST标志的数据段异常终止连接,C只有从头再来。 随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。 通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。 如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。 C(B) ---- SYN ----> AB <---- SYN+ACK ---- AC(B) ---- ACK ----> AC(B) ---- PSH ----> AIP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性,攻击最困难的地方在于预测A的ISN。 攻击难度比较大,但成功的可能性也很大。 C必须精确地预见可能从A发往B的信息,以及A期待来自B的什么应答信息,这要求攻击者对协议本身相当熟悉。 同时需要明白,这种攻击根本不可能在交互状态下完成,必须写程序完成。 当然在准备阶段可以用netxray之类的工具进行协议分析。 虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。 预防这种攻击还是比较容易的。 IP本身的缺陷造成的安全隐患目前是无法从根本上消除的。 我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。 防御这种攻击的最理想的方法是:每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前,先对来自外部的IP数据包进行检验。 如果该IP包的IP源地址是其要进入的局域网内的IP地址,该IP包就被网关或路由器拒绝,不允许进入该局域网。 这种方法虽然能够很好的解决问题,但是考虑到一些以太网卡接收它们自己发出的数据包,并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源,这种方案不具备较好的实际价值。 另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。 即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前,先对来自该IP数据包的IP源地址进行检验。 如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被网关或路由器拒绝,不允许该包离开局域网。 这样一来,攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。 如果攻击者要进行攻击,根据其发出的IP数据包的IP源地址就会很容易找到谁实施了攻击。 因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。 如果每一个网关路由器都做到了这一点,IP源地址欺骗将基本上无法奏效。