如今的网络安全越来越重要，不仅要防止恶意用户的钓鱼式攻击，还得防止其用溢出工具或IP欺骗进行非法活动，如果一但让其得手，那企业付出的代价将是不菲的。身为企业网管或个人用户只有在深入了解了IP欺骗原理后才能对其进行更好的防御。

　　IP简述

　　普通用户在网络协议中最常用到的要数TCP/IP协议和UDP协议，两者都是通过IP层交换数据包来进行规则通信，而IP在网络层中占据生要地位是不容替代的，其接收由最低层（网络接口层如以太网设备驱动程序）发来的数据包，并把该数据包转发到更高层---TCP或UDP层，或者将接收到的TCP或UDP层的数据包传送到更低层，不区分数据包发送的先后顺序，不检查数据包的完整性，虽然IP确认中包含一个IP source routing，但此选项是为了测试而存在，可以用来指定发送它的主机的地址（源地址）和接收它的主机的地址（目的地址），此点造成了被恶意用户用来欺骗系统进行平常被禁止的连接，使许多依靠IP源地址做确认的服务产生问题，并且很容易让恶意用户利用虚假数据包对其进行欺骗式入侵，因此IP数据包是不可靠的，是对信任关系的一种破坏。

　　IP欺骗过程

　　IP欺骗由多个过程进行组合分工，当恶意用户选择了一台远程目标信任主机，其信任机制在被充份掌握的情况下对其下手，使目标机失去工作能力，并提取目标机发出的TCP序列号进行猜测数据序列号，成功后开始伪装被信任的远程计算机，同时建立基于地址验证的连接，连接一旦成功，恶意用户就会取代被信任主机的角色，使用相关命令放置后门程序，进行一系列的恶意行动。

　　为了不被信任主机所发现，网络中著名的TCP SYN淹没就是利用客户端向服务器发送SYN请求，服务器返回一个SYN/ACK信号，一但数据超出TCP处理模块内的SYN请求上限，那超出队列长度的数据连接请求将会被拒绝，此时恶意用户就会利用这一特性向目标机的TCP端口发送大量的合法的虚拟IP地址，而目标机随即回应信号，但信号却无法连接到主机，此时IP包通知受攻击的主机TCP无法到达，但主机TCP层却认为是网络连接暂时错误，并尝试再次连接，直到确信无法连接，而大量的SYN请求却是一波接着一波，将其TCP队列排的满满的。此时给IP欺骗嬴取了时间使恶意用户堂而皇之的使用此IP地址进行欺骗。

，如何防止IP欺骗