什么是侵入过滤，它是如何工作的？

Question

我知道入侵过滤用于尝试验证数据包是否来自它声称来自的ip地址。但是，当您只有数据包时，如何才能验证这一点呢？你在查什么？也许解释一下ip地址欺骗的工作原理会有帮助。

Answer 1

我知道入侵过滤用于尝试验证数据包是否来自它声称来自的ip地址。但是，当您只有数据包时，如何才能验证这一点呢？

入口过滤验证包中的源IP地址是否在允许的源IP地址列表中。它无法验证数据包是否来自那里。

你在查什么？

它正在根据过滤器上维护的列表检查数据包中的IP。如果过滤器只允许192.168.1.0/24源地址，而具有172.16.1.23源地址的数据包到达，它将不允许该数据包进入。另一方面，一个具有192.168.1.45源地址的数据包将被允许进入。

也许解释一下ip地址欺骗的工作原理会有帮助。

在IP欺骗中，客户端使用伪造的源地址创建数据包。当筛选器查看该数据包时，它将信任它所看到的源地址，并让它进入。IP地址欺骗是一种绕过入口过滤的方法。但是，对该数据包的任何响应都不会发送给恶意发送方，而是发送给该伪造源地址的不知情所有者。这限制了IP欺骗在以下情况下的可用性：

1. 您不需要来回的数据包会话，或者
2. 您控制滥用该返回路径所需的网络基础结构。

您可能想要阅读米特尼克攻击，这可能是最著名的例子，有人设法欺骗一个地址，并使它的工作时间足够长，从一个会话中得到一些东西。实际上，他设法用伪造的源地址伪造了一个会话，方法是：( a)预测服务器的行为，但他看不到；( b)抑制被欺骗的目标对“未经请求的”数据包的自然响应。

IP欺骗最常见的情况是DDoS攻击，攻击者会发送伪造的数据包，因为他们不关心响应--他们只是试图用数据包淹没受害者。更改源地址可以更容易地掩盖攻击的来源，也更难过滤(因为欺骗地址可以随时更改)。

你还会看到上面提到的“均衡器过滤”--在DDoS的例子中，这意味着当新泽西州霍博肯的有线调制解调器用户发送一个数据包时，他的ISP将验证它是否使用了他们的某个地址，如果没有，则删除或阻止它。如果所有ISP都进行了公平过滤，那么DDoS就无法使用伪造的地址来迷惑维权者。可悲的是，它属于“做对他人有益的事情”的范畴，而不是必须这样做的人，所以它不像应该做的那样普遍。