IP欺騙 是什麼？

　IP Spoofing 又稱為 IP 欺騙、IP 詐騙或 IP 誘騙...等。

　IP 欺騙 是一種常見的網路攻擊手法，指的是駭客在傳送封包時，竄改來源 IP 位址，讓接收端誤以為流量是來自合法或可信任的來源。

　在正常情況下，當使用者傳送資料封包時，來源 IP 會顯示真實的發送者位址，伺服器再根據這個 IP 回應；但在 IP 欺騙中，駭客會修改封包的來源 IP，偽裝成其他裝置或網域，以達到目的：

• 隱藏真實身分，避免被追蹤

• 偽裝成白名單或內部 IP，以繞過安全機制

• 作為 DDoS、反射型攻擊(例如 DNS 放大攻擊、NTP 放大攻擊) 的基礎手法

IP欺騙運作原理

　在網路通訊中，每一個封包都包含「來源 IP 位址」和「目的 IP 位址」，系統會根據來源 IP 回傳資料，而 IP 欺騙(IP Spoofing) 就是駭客在傳送封包時，竄改來源 IP 位址，讓目標伺服器誤以為流量是由合法的裝置發送。

正常情況

1. 使用者傳送封包，來源 IP = 真實使用者的 IP。

2. 伺服器依據來源 IP 回應資料。

【正常封包傳輸流程】
使用者 →（來源 IP = 真實 IP）→ 伺服器
伺服器 →（回應資料傳回真實使用者 IP）→ 使用者

IP 欺騙情況

1. 駭客傳送封包，來源 IP 被偽造成他人的 IP。

2. 伺服器收到封包後，誤以為這個偽造的 IP 是來自合法 IP，於是回應資料給「被冒充的對象」。

3. 駭客可藉此達成隱匿來源、繞過存取控制，甚至利用反射伺服器製造大規模攻擊流量。

【IP 欺騙封包流程】
駭客 →（來源 IP = 偽造的合法 IP）→ 伺服器
伺服器 →（回應資料傳給被冒充的 IP）→ 無辜的受害者

IP 欺騙常見攻擊方式

　IP 欺騙並不是單獨存在的攻擊，而是許多網路攻擊的基礎手法，駭客通常會將來源 IP 偽造並搭配不同攻擊策略，以達到隱匿身分、製造大量流量或繞過安全限制。IP 欺騙是許多 DDoS 與反射型攻擊的基礎技術，它的危險性不在於「單一手法」，而是能夠被駭客靈活結合，放大攻擊效果、隱藏行蹤。

DDoS 洪水攻擊

駭客透過大量偽造來源 IP 的請求，讓伺服器無法分辨真實流量與惡意流量。

• SYN Flood：發送大量偽造 IP 的 TCP 連線請求，讓伺服器資源耗盡。

• UDP Flood/ ICMP Flood：利用偽造 IP 發送巨量封包，造成頻寬與系統資源被佔滿。

反射型攻擊

駭客偽造受害者的 IP，向公開伺服器(如 DNS、NTP、SSDP) 發送請求，伺服器收到請求後，會將大量回應流量發送到「被冒充的受害者」，達到 放大攻擊效果。

• 如：DNS 放大攻擊、NTP 放大攻擊、SSDP 放大攻擊

繞過存取控制

某些系統或防火牆會依據 IP 白名單或內網 IP 來判斷存取權限，駭客若偽造內部網段 IP，就可能繞過限制，進行「未授權存取或資料竊取」。

隱匿來源行蹤

駭客在入侵或掃描漏洞時，會偽造來源 IP，使追蹤者難以找到真正的攻擊源頭，增加事件調查與追溯的難度。

IP 欺騙的風險與危害

　IP 欺騙雖然只是竄改來源 IP 的技術，但一旦被駭客利用，會帶來多層面的資安風險與營運影響，並且 IP 欺騙不只是「技術問題」，它會讓 網路防禦與追蹤難度加大，並進一步引發 DDoS、資料外洩與營運中斷 等重大風險。

1. 難以追蹤攻擊來源
   由於來源 IP 是偽造的，網管人員難以鎖定真正的攻擊者位置，使事件調查與溯源變得困難。

2. 放大 DDoS 攻擊威脅
   IP 欺騙常被用於 反射型與放大攻擊(如 DNS 放大、NTP 放大)，小流量即可放大成百倍甚至千倍的大流量，癱瘓伺服器或整個網路。

3. 繞過存取限制
   若企業系統依賴 IP 白名單或內部 IP 驗證，駭客能透過偽造 IP 偽裝成內部使用者，進行 未授權存取 或資料竊取。

4. 資源耗盡與服務中斷
   透過大量偽造 IP 的洪水攻擊，伺服器會被迫處理無效請求，導致 CPU、記憶體、頻寬資源被耗盡，最終造成 網站宕機或服務中斷。

5. 品牌信任受損
   若因 IP 欺騙相關攻擊導致網站頻繁無法使用，或客戶資料被盜取，將直接影響企業信譽與商業合作，造成無形的信任成本。

IP 欺騙真實案例

　IP 欺騙在真實世界都能帶來嚴重的後果，它能隱藏駭客來源，使追蹤困難，並且 IP 欺騙 是反射型、放大式 DDoS 的核心手法，往往讓小型攻擊升級為超大規模攻擊。

案例：Mirai 殭屍網路攻擊

• 事件背景：
  Mirai 惡意軟體在 2016 年入侵大量 IoT 裝置(攝影機、路由器)，建立龐大的殭屍網路。

• 攻擊手法：
  Mirai 利用了 IP 欺騙 技術，隱藏真實來源，並發送大量 SYN Flood、UDP Flood 攻擊流量。

• 影響：
  2016 年 10 月，美國的 DNS 提供商 Dyn 遭到 Mirai 大規模 DDoS 攻擊，導致許多知名的大型網站全球性癱瘓。攻擊流量高達 1.2 Tbps，成為當時最大規模的 DDoS 攻擊之一。

• 資料來源：How a Dorm Room Minecraft Scam Brought Down the Internet

案例二：GitHub 遭受 1.35 Tbps DDoS 攻擊

• 事件背景：
  2018 年 2 月，全球最大程式碼託管平台 GitHub 遭受當時史上最大規模的 DDoS 攻擊。

• 攻擊手法：
  攻擊者利用 Memcached 伺服器 作為反射放大器，透過 IP 欺騙，偽造 GitHub 的 IP，向 Memcached 發送小量查詢，Memcached 回應則被放大至 50,000 倍流量，直接打向 GitHub。

• 影響：
  攻擊峰值流量高達 1.35 Tbps，持續約 20 分鐘。GitHub 一度中斷服務，後來透過知名DDoS防禦服務廠商的流量清洗服務才成功緩解。

• 資料來源：GitHub hit with record 1.35-Tbps denial of service attack, more attacks expected

如何防禦 IP 欺騙？

　由於 IP 欺騙涉及封包來源位址的竄改，僅靠單一防禦措施難以完全阻擋。有效防禦需要從 網路層、應用層到整體安全架構 多層次下手。

網路層防禦

• Ingress/Egress Filtering (RFC 2827 / BCP 38)
  在路由器與 ISP 端檢查來源 IP，阻擋與實際來源不符的封包，避免惡意流量進出網路。

• 深度封包檢測 (DPI)
  分析封包內容與來源異常行為，快速辨識偽造流量。

• 防火牆與 ACL(存取控制清單)
  嚴格限制可疑或非必要的外部流量，降低偽造 IP 的存取機會。

應用層防禦

• Web Application Firewall (WAF)
  過濾惡意 HTTP/HTTPS 請求，避免駭客僅靠偽造 IP 就能繞過驗證。

• 多因子驗證 / Token 機制
  不僅依靠 IP 來判斷身分，而是增加登入驗證要素，例如金鑰、憑證、CAPTCHA。

• 日誌與行為監控
  建立流量基準，快速偵測出異常的請求模式（如來源 IP 分布異常廣泛）。

DDoS 防禦與流量清洗

• CDN 與 Anycast 技術
  將流量分散到全球節點，降低單一伺服器承受的風險。

• 雲端清洗中心
  在流量進入企業前先過濾惡意封包，清除偽造 IP 的洪水攻擊。

• 專業防禦服務
  導入 Anti-DDoS 方案，能針對 反射型與放大攻擊進行快速攔截。

企業實務措施

• 定期檢查網路設備與防火牆規則，避免錯誤開放存取。

• 教育內部團隊認識 IP 欺騙相關風險，提升事件應變能力。

• 建立 SOC 安全監控中心 或導入外部監控服務，確保 24/7 能即時應對攻擊。