IP 欺騙是什麼，您又要如何保護自己？

IP 欺騙（IP spoofing）係指駭客將封包的原始 IP 位址改成假的 IP 位址，通常會使其看起來像是來自合法來源的流量。駭客也可以反其道而行，偽裝掩蓋接收者的 IP。究竟是什麼使得 IP 欺騙在網路上成為可能？

您的流量會被分成封包，透過網路傳送和接收資訊。封包都是單獨傳送，並在目的地（例如，接收者的裝置或網站的伺服器）組裝。您傳送的每個封包都有一個 IP 標頭，其中包含來源和接收者的 IP 位址等資訊。在正常的連線中，該封包會透過 TCP/IP 通訊協定傳輸。

然而，此種通訊協定存在漏洞。其需要完成 TCP 三次握手，才能在雙方之間傳輸資訊。以下為其運作原理：

1. 來源向接收端傳送 SYN 訊息。此舉建立了連線，並協助兩台裝置同步其序號。
2. 然後，接收端傳送 ACK 訊息，確認已收到 SYN。
3. 來源向接收端傳回 SYN-ACK 訊息，確認安全連線。

在最基本的 IP 欺騙攻擊中，駭客會在步驟 3 之前攔截 TCP 握手，也就是在來源設法傳送 SYN-ACK 訊息前。反之，駭客會傳送一個虛假的確認訊息，包含其裝置位址（MAC 位址）和假冒原始傳送者的 IP 位址。現在，接收者認為連線是與原始傳送者建立的，但他們實際上是在與假冒的 IP 進行通訊。

富有創意的駭客們想出了無數種惡意使用 IP 欺騙的不同方法。其可以用來攻擊個人使用者、伺服器甚至是應用程式。以下是IP 欺騙最常見的三種惡意用途：

IP 位址欺騙最常用於略過基本的安全措施，如仰賴封鎖清單的防火牆。這意味著，即使攻擊者的原始 IP 在封鎖清單上，理應遭到封鎖，也還是能夠藉由躲藏在偽造的 IP 之後得以通行。

這也適用於具有許可清單，且只允許來自「可信任」IP 連線的系統。不良行為者可以偽造一個可信的 IP 並進入您的電腦網路。一旦進入之後，他們就可以自由探索裡面的內容。這就是為什麼企業不應該只仰賴 IP 授權，還應該使用其他驗證方法。

在阻斷服務攻擊（DoS）或分散式阻斷服務攻擊（DDoS）中，伺服器或網站會因大量詐欺請求而癱瘓。這些請求通常是由感染了殭屍蠕蟲的裝置所發出，裝置所有者甚至不知道自己已成為駭客私人軍團的一份子。

然而，IP 欺騙也可用於重新導向詐欺通訊。駭客可以傳送數百萬個檔案請求，並且偽造 IP 位址，使所有這些伺服器都將回覆傳送至受害者的裝置。

這類攻擊在咖啡廳和機場等使用不安全 Wi-Fi 的場所最為常見。如果您正在瀏覽一個不安全的 HTTP 位址，駭客可以使用 IP 欺騙來假裝自己既是受害者，又是正在和受害者通話的網站或線上服務，進而詐騙雙方並取得通訊的存取權。

在中間人攻擊中，您所分享的資料都不安全，因為駭客就坐等在那裡，「嗅探」所有您交換的資訊。即使是看似無傷大雅的細節，也有助於駭客在未來的攻擊中，或導致他們入侵您的帳戶。針對此類型的攻擊，最好的防禦措施之一為 VPN。

如果沒有從事任何非法行為，IP 欺騙就並非違法的。例如，您可能使用 VPN 服務或是代理伺服器來變更自己的 IP，以確保瀏覽網路的安全。網站管理員也可以使用程式建立數千名虛假的線上訪客，對自己的網站和伺服器進行壓力測試。

然而，如果有人透過使用別人的 IP 假冒成他人，並實行身份盜竊等網路犯罪，則 IP 欺騙就會被視為是非法行為。

要偵測 IP 欺騙幾乎是不可能的。即使能夠偵測到，也可能為時已晚。然而，還是有幾種方式可以保護自己免於 IP 欺騙：

• 監測網路中的非典型活動
• 使用更強效的驗證方法
• 將部分電腦資源置於防火牆後
• 將網站從 IPv4 遷移至 IPv6
• 實施入口過濾（ingress filtering）和出口過濾（egress filtering）
• 使用深度封包檢測（DPI）

一般使用者幾乎不可能發現 IP 欺騙，但為了盡量降低風險，您應該採取以下行動：

1. 只造訪安全的 HTTPS 網站。這類網站使用 TLS/SSL 通訊協定運行，這意味著其連線已加密且是安全的。
2. 使用防毒軟體。如果有人設法欺騙您的流量，防毒軟體就可以協助您。一個強大的防毒程式會掃描傳入的資料封包，查看封包是否含有已知的惡意程式碼。這並非完整的防禦，但在任何情況下有防毒軟體總是好的！
3. 使用 VPN。透過加密流量，NordVPN 使駭客難以查看您的流量，或欺騙您和目的地的 IP 位址。此外，NordVPN 的威脅防護功能可以協助您抵禦惡意或遭駭客入侵網站的攻擊，這些網站可能會使您面臨欺騙攻擊的風險。