?
　　
　　二、IP欺骗的防范?
　　IP欺骗攻击虽然在原理上讲得通，但实际操作起来却非常困难，例如确定信任关系、猜测序列号等等。然而，要成功实现IP欺骗攻击并不是没有可能。著名黑客凯文•米特尼克就曾经成功地运用IP欺骗攻击攻破了San Diego超级计算中心的一台主机。?
　　IP欺骗之所以可以实施，是因为信任服务器的基础建立在网络地址的验证上，IP地址是可以简单的进行欺骗的，在整个攻击过程中最难的是进行序列号的估计，估计精度的高低是欺骗成功与否的关键。针对这些，可采取如下的对策：?
　　（1） 使用加密法。
　　阻止IP欺骗的一个明显的方法是在通信时要求加密传输和验证。当有多个手段并存时，加密方法最为适应。通信时要求双方对数据进行加密传输和验证，使得欺骗者无法获取有用信息，从而无法完成欺骗功能。?
　　（2）禁止基于IP地址的信任关系。
　　IP欺骗的原理是冒充被信任主机的IP地址，这种信任关系是建立在基于IP地址的验证上，如果禁止基于IP地址的信任关系、不允许R*类远程调用命令的使用、删除。rhosts文件、清空/etc/hosts。equiv文件，使所有的用户通过其它远程通信手段，如Telnet等进行远程访问，可彻底的防止基于IP地址的欺骗。?
　　（3） 安装过滤路由器。
　　如果计算机用户的网络是通过路由器接入Internet的，那么可以利用计算机用户的路由器来进行包过滤。确信只有计算机用户的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。计算机用户的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog或类似的包监控工具来检查外接口上包的情况，如果发现包的两个地址即源地址和目的地址都是本地域地址，就意味着有人要试图攻击系统。?
　　（4） 防止IP地址伪造。
　　IP地址伪造技术是进行IP欺骗采取的基本技术。具有伪造IP地址的报文可能发生在Internet上的任何区域。因此要防止IP地址伪造就需要在Internet的各级网络采用包过滤技术，截获这些伪造IP地址的报文。?
　　
　　参考文献：?
　　［1］任侠，吕述望.IP欺骗原理分析［J］.计算机工程与应用，2003，2：166-169.?
　　［2］程小鸥，梁意文.防IP欺骗的多样性方法［J］.计算机应用研究，2006（8）：104-106.?
　　［3］蔡凌.IP欺骗攻击［J］.网络安全技术与应用，2006，1：28-30.?
　　［4］张建青，谢凤梅.IP欺骗技术及防范［J］.网络通讯与安全，2005，5：23-25.?
　　［5］王绍卜.IP欺骗原理分析与防范对策［J］.河北理工学院学报，2004，8（3）：57-60.?
　　［6］蒋卫华，李伟华，杜君.IP欺骗攻击技术原理、方法、工具及对策［J］.西北工业大学学报，2002，11（4）：543-547.?