華輿訊 據中非新聞社報道（2021-01-28） 超過400萬個IP地址被非法使用，這被稱為非洲最大的互聯網盜竊案。這起盜竊案早在2016年就引起了人們的警覺，現在已經完全暴露了其規模，揭露了腐敗、掩蓋事實真相和蓬勃發展的黑市交易。IP盜用大多是攻擊者在發動攻擊時，出于隐藏自己身份的目的，今天就由小編帶着大家一起了解下網絡隐身的相關知識，各位看官，且聽小編娓娓道來。

隐身戰機

攻擊者隐身

攻擊者在發動攻擊時，勢必伴随着各種網絡行為，包括發起請求、接受響應等，通過網絡抓包等技術手段，可以很容易發現攻擊者的IP，從而定位攻擊終端以及攻擊者的身份，但是随着技術的發展，攻擊者們可不會讓自己輕易暴露在太陽光下，他們會采用相應的防護措施，保障自己在發動攻擊後可以隐藏身份，藏匿行蹤，從而逃脫被定為和懲罰的可能。所以，網絡隐身簡單來說，就是攻擊者利用技術手段，隐藏自己的真實客戶端IP地址，使得被攻擊目标無法通過反向追蹤溯源等手段，發現自己，有時髦點的話将，就是網絡隐身使得攻擊者具備反偵察能力。

網絡攻擊鑰匙

網絡隐身對于現在的攻擊者來說做起來非常簡單，很多攻擊工具自身就可以實現網絡隐身，常用的隐身方法包括：IP假冒、MAC地址盜用、代理隐藏、冒用真實用戶和僵屍主機。

• IP假冒：IP假冒也叫IP盜用，攻擊者能夠進行IP假冒，是由于TCP/IP協議在設計之初，并沒有考慮安全性問題，因此協議自身不會對源IP地址的真實性進行檢查。因此，攻擊者在發起攻擊時通過篡改源IP地址，實現IP的假冒，進而可以成功繞過訪問控制系統的黑名單機制，将攻擊請求傳輸到目标系統。

IP假冒

• MAC地址盜用：MAC地址盜用與IP假冒有着異曲同工之妙，網絡中的網絡接入系統時常會對接入終端的MAC地址做限制，以實現安全準入，攻擊者如果發現存在類似的限制，則可以通過修改自身終端的MAC地址信息，輕易的繞過此限制，進而冒充合法的主機接入到目标網絡，實施進一步攻擊。

MAC地址表

• 代理隐藏：相信大多數人都或多或少聽過“爬蟲”這個詞，亦或是對爬蟲有着深刻的理解、認知甚至使用，爬蟲在爬取信息時，往往會因為網站自身的安全保護機制被在一段時間内限制訪問。攻擊者在發動攻擊之前的信息收集階段，也會進行類似的工作進行大量多維度信息的收集，一方面為了在收集時不被限制訪問，另一方面為了因此自己的身份，攻擊者常常會使用免費的代理進行，這樣及時請求地址被發現也隻是代理IP，不會暴露自己的真實IP地址，如果攻擊者采用的代理地址為多個且分散度很高，那麼更加難以追蹤定位。

爬蟲代理

• 冒用真實用戶：這種攻擊的思路簡單直接，就是通過監聽、社會工程學等手段，破解合法的用戶口令和密碼，并利用相關信息，以合法的用戶身份進入網絡，實施後續攻擊行為。

盜取用戶名和密碼

• 僵屍主機：攻擊者通過病毒、蠕蟲、木馬的相互配合，俘獲互聯網上存在漏洞的主機，進而達到對其控制的目的，這樣的主機通常成為僵屍主機。攻擊者通過僵屍主機進行攻擊，并在僵屍主機上消除任何與自己有關的痕迹，這樣即便被攻擊者發現僵屍主機，也隻能看到僵屍主機的IP地址，無法發現真實的攻擊者地址。

僵屍主機

根據網絡隐身手段的不同，應對的方法也有差異：

網絡隐身防禦

1. 應對IP假冒：包括交換機控制技術（交換機端口綁定和合理的VLAN劃分）、路由器隔離技術（靜态ARP表技術和路由器動态隔離技術）、透明網關過濾技術等。
2. 應對MAC地址盜用：較常用的是通過上網行為管理類軟件，當發現MAC地址克隆情況及時告警。
3. 應對代理隐藏：此類攻擊應對的較好方法是在訪問控制策略中增加黑名單、白名單機制，對于陌生IP訪問頻繁的進行限流限速甚至加黑，針對高可信的合法IP則加白。
4. 應對冒用真實用戶：加強用戶賬号及密碼管理，禁止使用弱密碼，并定期強制對用戶賬号及密碼進行重置；利用零信任、堡壘機等安全産品和技術，加強對用戶合法終端的訪問限制。
5. 應對僵屍主機：此類攻擊應對的較好方法是在訪問控制策略中增加黑名單、白名單機制，對于陌生IP訪問頻繁的進行限流限速甚至加黑，針對高可信的合法IP則加白；通過與威脅情報相結合，及時發現和阻斷僵屍主機的訪問。

内容較基礎，但為了保證知識的完整性及體系化，也是很有必要提提的，不喜勿噴。後續文章同樣精彩，歡迎關注，一起學習提高。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!