华舆讯 据中非新闻社报道（2021-01-28） 超过400万个IP地址被非法使用，这被称为非洲最大的互联网盗窃案。这起盗窃案早在2016年就引起了人们的警觉，现在已经完全暴露了其规模，揭露了腐败、掩盖事实真相和蓬勃发展的黑市交易。IP盗用大多是攻击者在发动攻击时，出于隐藏自己身份的目的，今天就由小编带着大家一起了解下网络隐身的相关知识，各位看官，且听小编娓娓道来。

网络隐身是什么？

攻击者在发动攻击时，势必伴随着各种网络行为，包括发起请求、接受响应等，通过网络抓包等技术手段，可以很容易发现攻击者的IP，从而定位攻击终端以及攻击者的身份，但是随着技术的发展，攻击者们可不会让自己轻易暴露在太阳光下，他们会采用相应的防护措施，保障自己在发动攻击后可以隐藏身份，藏匿行踪，从而逃脱被定为和惩罚的可能。所以，网络隐身简单来说，就是攻击者利用技术手段，隐藏自己的真实客户端IP地址，使得被攻击目标无法通过反向追踪溯源等手段，发现自己，有时髦点的话将，就是网络隐身使得攻击者具备反侦察能力。

网络隐身手段有哪些？

网络攻击钥匙

网络隐身对于现在的攻击者来说做起来非常简单，很多攻击工具自身就可以实现网络隐身，常用的隐身方法包括：IP假冒、mac地址盗用、代理隐藏、冒用真实用户和僵尸主机。

• IP假冒：IP假冒也叫IP盗用，攻击者能够进行IP假冒，是由于TCP/IP协议在设计之初，并没有考虑安全性问题，因此协议自身不会对源IP地址的真实性进行检查。因此，攻击者在发起攻击时通过篡改源IP地址，实现IP的假冒，进而可以成功绕过访问控制系统的黑名单机制，将攻击请求传输到目标系统。

IP假冒

• MAC地址盗用：MAC地址盗用与IP假冒有着异曲同工之妙，网络中的网络接入系统时常会对接入终端的MAC地址做限制，以实现安全准入，攻击者如果发现存在类似的限制，则可以通过修改自身终端的MAC地址信息，轻易的绕过此限制，进而冒充合法的主机接入到目标网络，实施进一步攻击。

MAC地址表

• 代理隐藏：相信大多数人都或多或少听过“爬虫”这个词，亦或是对爬虫有着深刻的理解、认知甚至使用，爬虫在爬取信息时，往往会因为网站自身的安全保护机制被在一段时间内限制访问。攻击者在发动攻击之前的信息收集阶段，也会进行类似的工作进行大量多维度信息的收集，一方面为了在收集时不被限制访问，另一方面为了因此自己的身份，攻击者常常会使用免费的代理进行，这样及时请求地址被发现也只是代理IP，不会暴露自己的真实IP地址，如果攻击者采用的代理地址为多个且分散度很高，那么更加难以追踪定位。

爬虫代理

• 冒用真实用户：这种攻击的思路简单直接，就是通过监听、社会工程学等手段，破解合法的用户口令和密码，并利用相关信息，以合法的用户身份进入网络，实施后续攻击行为。

盗取用户名和密码

• 僵尸主机：攻击者通过病毒、蠕虫、木马的相互配合，俘获互联网上存在漏洞的主机，进而达到对其控制的目的，这样的主机通常成为僵尸主机。攻击者通过僵尸主机进行攻击，并在僵尸主机上消除任何与自己有关的痕迹，这样即便被攻击者发现僵尸主机，也只能看到僵尸主机的IP地址，无法发现真实的攻击者地址。

僵尸主机

如何应对网络隐身？

根据网络隐身手段的不同，应对的方法也有差异：

网络隐身防御

1. 应对IP假冒：包括交换机控制技术（交换机端口绑定和合理的VLAN划分）、路由器隔离技术（静态ARP表技术和路由器动态隔离技术）、透明网关过滤技术等。
2. 应对MAC地址盗用：较常用的是通过上网行为管理类软件，当发现MAC地址克隆情况及时告警。
3. 应对代理隐藏：此类攻击应对的较好方法是在访问控制策略中增加黑名单、白名单机制，对于陌生IP访问频繁的进行限流限速甚至加黑，针对高可信的合法IP则加白。
4. 应对冒用真实用户：加强用户账号及密码管理，禁止使用弱密码，并定期强制对用户账号及密码进行重置；利用零信任、堡垒机等安全产品和技术，加强对用户合法终端的访问限制。
5. 应对僵尸主机：此类攻击应对的较好方法是在访问控制策略中增加黑名单、白名单机制，对于陌生IP访问频繁的进行限流限速甚至加黑，针对高可信的合法IP则加白；通过与威胁情报相结合，及时发现和阻断僵尸主机的访问。