在这种情况下，我们可以将 IP 地址视为互联网上设备的 DNI（标识号）。网络上的每个操作都会留下链接到该地址的数字踪迹。然而，在 IP 欺骗攻击中，网络犯罪分子会操纵此痕迹。

攻击者操纵通过网络发送的数据包。当数据包到达目的地时，它似乎来自不同的 IP 地址。因此，攻击者的真实位置被隐藏，很难追踪到他。

值得注意的是，这种策略不仅可以隐藏网络犯罪分子的身份。此外，它还可用于启动 拒绝服务 (DoS) 攻击 甚至访问受保护的系统。

例如，攻击者可以将数据包发送到网络或系统，假装它们来自受信任的 IP 地址。这可能会欺骗系统并允许攻击者访问。

使用 IP 欺骗或 IP 欺骗进行攻击的一个突出且有据可查的示例是 2018 年针对 GitHub 公司的攻击。

GitHub，一个软件开发和源代码托管平台，于28年2018月XNUMX日经历了一次 分布式拒绝服务 (DDoS) 攻击 规模大。这次攻击被认为是迄今为止记录的最大攻击之一，未经请求的流量达到了 每秒 1.35 太比特。

这次攻击是使用一种称为 “memcached 放大”。攻击者利用了 内存缓存服务器 （旨在通过将数据存储在内存中来加速 Web 应用程序）错误地暴露在 Internet 上。

这些服务器的放大率高达 51.000:1，这意味着攻击者发送的每个字节的数据，最多可以有 51.000 字节的流量淹没目标。

攻击者在向 memcached 服务器发出的请求中欺骗了 GitHub 的 IP 地址，然后流量淹没了 GitHub。由于 GitHub IP 地址在请求中被欺骗，memcached 服务器将响应发送到 GitHub，而不是发送回攻击者。

结果，GitHub 被巨大的流量淹没，导致其服务中断。

GitHub 攻击是一个明显的例子，说明了如何利用 IP 欺骗来扩大 DDoS 攻击的规模。这一事件也提醒人们，与不正确地将服务暴露到互联网相关的安全风险。

从那时起，GitHub 采取了额外的措施来提高其抵御 DDoS 攻击的能力，世界各地的组织也致力于保护其 memcached 服务器免遭利用。

由于 IP 欺骗攻击的欺骗性以及攻击者可以采用的策略多种多样，防御 IP 欺骗攻击可能具有挑战性。然而，组织可以采取几个步骤来降低这些攻击的风险。

作为第一道防线，可以将边界路由器和防火墙配置为阻止来自明显伪造的 IP 地址的传入流量。例如，可以将路由器配置为拒绝来自不应存在于公共网络上的 IP 地址的数据包。这种方法称为入口过滤，它可以是防止某些类型的 IP 欺骗的有效措施。

实施 BCP38（定义 IP 欺骗预防最佳实践的行业标准）会有所帮助。 BCP38 建议互联网服务提供商 (ISP) 和网络在其路由器上实施出口过滤，以确保传出数据包具有合法的源 IP 地址。

这些系统可用于检测和防止 IP 欺骗攻击。 IDS/IPS 可以识别网络流量中可能表明攻击正在进行的可疑模式。

由于 DDoS 攻击中经常使用 IP 欺骗攻击，因此采取适当的 DDoS 缓解措施可能会有所帮助。 DDoS 缓解服务可以帮助吸收攻击期间的过多流量并保持服务在线。

这些工具可用于引诱攻击者并观察他们的策略。然而，蜜罐和蜜网通常对于研究和分析比主动防御更有用。此外，如果实施不当，它们可能会带来额外的安全风险。