IP伪装ddos攻击

IP欺骗的定义：

欺骗是指在互联网上模仿一个用户、设备或客户。在网络攻击中常用来掩盖攻击流量的来源。

最常见的欺骗形式包括:

DNS 服务器欺骗 – 为了将域名重定向到不同的IP地址，对 DNS 服务器进行修改。 它通常用于传播病毒。

ARP欺骗 – 通过虚假的ARP信息，将一个攻击者的MAC地址链接到一个合法地址。通常用于拒绝服务 (DoS) 和中间人攻击。

IP地址欺骗 – 掩盖攻击者的原始地址。通常在DoS攻击中使用。

DDOS 攻击中的IP 地址欺骗，在 DDoS Attack 中，使用IP地址欺骗的原因有两条：掩盖僵尸网络设施的位置和发起反射攻击。

攻击者通过使用虚假IP地址，ip伪装ddos攻击，掩盖他们僵尸网络设施的真实身份，其目的在于:

避免被执法机构和法庭网络调查者发现和受到牵连，阻止目标将他们正在实施的攻击通知给设备所有者，绕开试图通过将攻击IP地址列入黑名单来缓解DDoS攻击的安全脚本、设施和服务。

DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

就是恶意程序修改电脑上DNS缓存中的内容，一是让不能正常上网，比如把www.sina.com.cn的IP地址修改为127.0.0.1，这样无论如何也不能找到新浪网了，二是将某些恶意IP地址放进DNS缓存，比如把www.sina.com.cn对应的IP地址修改为恶意网站地址，当在地址栏输入www.sina.com.cn的时候，访问的却是恶意网站。

由于操作系统在进行DNS解析的时候首先查询DNS缓存，如果在缓存中能查到，就不会再找DNS服务器了。这样一旦dns缓存被修改，去修改DNS服务器之类的网络参数也是无效的。用IPCONFIG/displaydns命令栏查看当前dns缓存里的内容。

用ipconfig/flushdns命令刷新dns缓存中的内容。若要防止dns缓存攻击，应禁用dns缓存，方法：禁用客户端DNS缓存1.启动注册表编辑器(Regedit.exe)。

2.在以下注册表项中找到MaxCacheEntryTtlLimit值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

3.在编辑菜单上，单击修改。键入1，然后单击确定。

4.退出注册表编辑器。

定义： DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 （回答由网堤安全提供）

---