IP数据包包含源地址和端口。
我的计算机 IP 是 123.123.123.123。我可以从我的计算机向服务器发送源地址为 111.111.111.111 的 IP 数据包吗?
如果是这样,服务器是否可以验证它确实是从不同的地址发送的?
答案1
我可以从我的计算机发送源地址为 111.111.111.111 的 IP 数据包到服务器吗?
技术上是的,但是当您进入 ISP 的网络时,或者离开 ISP 的网络访问互联网时,它很有可能被过滤(在这两种情况下,您的 ISP 都知道该地址肯定不属于您)。
欺骗源 IP 地址是允许执行 DDoS 放大攻击的原因,因此一般网络管理员不喜欢缺乏这种过滤功能的 ISP。互联网工程任务组 BCP 38描述了推荐的做法。
实际上,每个 ISP 都有不同的网络配置,但其中大部分都会阻止假装来自完全不同网络的数据包,或者假装来自同一 ISP 的另一个客户的数据包,或者两者兼而有之。
那里是不执行任何源检查的 ISP。
然而,即便如此,这种过滤也可能发生前数据包甚至会到达您的 ISP – 例如,带有假源地址的数据包可能会被您的家庭路由器丢弃,同样,在企业/学术网络上也可能会实施反欺骗。(如果数据包没有被过滤,它可能会受到NAT。
如果是这样,服务器是否可以验证它确实是从不同的地址发送的?
一般来说,不是,不是仅从数据包来看。(这是 DDoS 反射的问题。)
但是,即使服务器收到了你的欺骗数据包,你也不会收到任何回复(它会发送给该地址的真正所有者),因此需要某种形式的“握手”的协议将会卡住 - 例如,你将无法建立 TCP 连接,因此无法向 IP 地址受限的网站发出 HTTP 请求。
TLS、SSH 或 IPsec 等协议还包括每个数据包的身份验证(例如MAC 标签),确保您无法在已建立的连接“中间”发送欺骗数据包。(当然,TLS 和 SSH 也会加密数据,因此如果您不知道加密密钥,就无法发送任何有用的信息反正– 但有时在半信任网络上会使用像 IPsec AH 这样的“仅身份验证”模式。)