0 引言

互联网技术的进一步发展使得传统互联网信息技术中所存在的问题逐渐暴露出来，其中IP地址伪造就是一种较为严重的问题。互联网最初是以学术研究为载体逐渐发展起来的，当时默认接入互联网中的设备是可信的，因此并不会对IP地址的真伪进行验证。随着互联网范围的不断扩大，这种最初的假设已经完全无法有效存在，在互联网当中任何一台设备都可以通过IP地址伪造来达到自己的特定目标，同时IP地址伪造也逐渐成为网络攻击技术中较为常见的现象[1]。为了保障互联网的安全性，现阶段对IP地址伪造与防御机制进行分析与研究具有一定的必要性。

1 伪造IP地址与网络安全

在互联网通信当中，为了实现信息的双向传播，信息发送方在发送信息时必须要填写网络所分配的IP地址，只有这样信息的接收方才能知道信息发送方的具体位置，并实现信息的反馈。在网络攻击当中，往往会将网络分配给信息发送方的IP地址修改为任意地址，这种行为被称为IP地址伪造。现阶段我国互联网并没有自动过滤伪造IP的功能，因此一般情况下，通过伪造IP地址所发送的信息也可以到达规定的目的地。在网络攻击中常常伴随着IP地址伪造，这就必然导致攻击行为的真正起源无法被有效找到，对网络攻击也很难实现有效防护，同时在攻击发生之后也无法在最短的时间内查找到真正的攻击者。只有有效解决IP地址伪造问题，才能从根本上解决互联网的安全性。

2.快速美白产品，铅汞超标。很多能快速美白的产品都含有铅和汞，一般使用2~3周就能看到明显效果。但再用一段时间，人体就有可能发生重金属中毒现象，导致自由基异常增生，细胞结构改变，使皮肤变得干、脆和薄，对外界的刺激反应过激，很容易红肿。而且，人体长期吸收铅和汞，还会导致神经系统失调，视力减退，肾脏损坏，听力下降。一些美白产品也会添加糖皮质激素成分，令皮肤状况雪上加霜。

2 基于IP地址伪造的网络攻击分类

并不是所有的IP地址伪造行为都会对互联网进行攻击，单纯的IP地址伪造行为对互联网的危害性相对较小，只有利用伪造IP地址所发起的网络攻击才会对互联网的安全性造成较大的影响。但是根据IP地址伪造攻击作用类型的不同，可以将IP地址伪造攻击分为随意地址攻击、特定地址伪造攻击、攻击被伪造者的特定地址伪造攻击三种类型。

2.1 随意地址攻击

在这种攻击模式当中发动攻击者会通过伪造的IP地址消耗被攻击目标的资源，从而使得被攻击者的服务能力受到很大的限制，往往会导致被攻击者的具体任务无法有效完成，这种攻击也被称为DOS攻击[2]。但是随着互联网防御技术的不断发展，单纯的DOS攻击并不能对受攻击者产生较大的影响，除非受攻击目标的信息代价很高或者链路带宽相对较小，否则DOS攻击所占据的资源量只能占很小的部分，无法对受害者形成实质性的威胁。现阶段在互联网当中最为常见的DOS攻击为SYN flooding攻击。但是也并非是所有的DOS攻击都不会对受攻击对象造成毁灭性打击，DDOS攻击属于DOS攻击的一种类型，其攻击性能相对较高。DDOS的攻击模式与DOS是完全一致的，但是DDOS攻击可以通过互联网控制大量的计算机，这些被控制的计算机会同时向受攻击目标发送信息，从而导致受攻击目标的通信链路被完全占领，最终导致受攻击目标无法完成自己的服务。结合了IP地址伪造的DDOS攻击中，由于受害者无法找到攻击的具体位置，也就无法从来源入手关闭附近网关的通信链路，攻击会一直持续下去。

2.2 特定地址伪造攻击

在一些攻击行为当中，攻击者出于特定的目的，往往想了解被攻击者的一些特定信息，这时就很有可能通过伪造特定地址向被攻击者发送特定的信息。在互联网中，大部分机制都是将信息发送的IP地址作为认证的唯一指标，因此，通过伪造特定地址可以将信息发送给特定的对象，如果受攻击者缺乏必要的防御机制，则通过伪造IP地址所发送的信息就可以直接被受攻击者接受，同时被攻击者对信息的反馈对攻击者来说往往也是可见的，即使并不是可见的，攻击者也可以猜到所反馈的信息[3]。在特定地址伪造攻击中，中间人攻击是较为常见的方式，即通过对网络中重要设备通信报文的伪造实现攻击，例如伪造DNS信息交换、路由器更新、邮件服务器等。

[1] 李芳,夏宇. 地址解析协议病毒攻击与防御分析[J]. 软件,2013,34(2):121-123.

2.3 攻击被伪造者的特定地址伪造攻击

通过特定地址伪造所发动的攻击并非是完全针对其他地址的用户，在许多攻击中对特定地址的伪造主要就是实现对该IP地址的攻击。例如，DDOS中的一种特定攻击类型DrDOS攻击就是利用了这种攻击模式，在DrDOS攻击当中，攻击者首先向大量的公用计算机发送由伪造拟定攻击IP地址所发送的需要反馈的信息，这些公共计算机在接受到信息之后就会同时向该真实的IP地址发动攻击，从而造成真实IP地址所在的链路资源被大量信息占据，无法完成自己的服务[4]。在这种攻击模式当中，防护也存在着较大的难度，因为真实IP无法屏蔽所接受到的信息，这主要是由于向其发送信息的计算机并没有存在攻击意图。

3 IP地址伪造防护技术

The function of the system′s experiment text: as shown below in Figure 10, users can customize the order of the tests, combine the instrument, and realize the function of simulating industrial automation testing finally.

3.1 端到端防护技术

端到端防护技术是一种基于密电的防护技术，其信息接收端在接收信息的同时还能对信息发送端的地址真实性进行验证，即信息的发送必须要配备对应的签名，信息接收端在接受信息时可以从数字签名中对地址的真实性进行验证。在这种防护技术中，信息传输的中间环节都并不会对信息的真实性进行验证，同时接收端所接受的信息也具有较为明显的粒度特征，即所接受的信息既可以来自其他主机，也可以来自自治域。端到端的防护技术并不仅仅局限于防止网络攻击，在IP地址真实性验证方面也具有较为广泛的应用。

IP地址伪造对互联网的安全性造成了较为严重的负面影响，只有强化IP地址伪造防护技术的研究，才能进一步提升网络的安全性。基于此种情况，笔者对IP地址伪造防护技术进行了必要的介绍，旨在促进互联网安全性的进一步提升。

3.2 路径过滤技术

参考文献：

Traceback技术本质上并不是对IP地址进行验证，其主要目的是在网络攻击发生之后查找攻击者的真正位置，并采用对应的手段消除这种攻击，因此，最终信息来源是Traceback防护技术最主要的目标。信息标记、路由器记录以及搜集器处理是现阶段最为常见的Traceback防护方案。

3.3 Traceback防护技术

现阶段较为常用的路径过滤技术有SAVE、Ingress Filtering、DPF、Passports等。SAVE是一种在自治域的边界路由器上建立到达本地的报文源地址和接口对应关系的协议。在SAVE协议当中，边界路由器之间会相互交换路由表的信息，同时还会将所收到的信息映射到这一接口当中，从而获得正确的对应表，SAVE技术的应用可以有效解决由于非对称路由所导致的伪造IP地址过滤问题，但是却无法实现IP地址反向伪造的传播。SAVE技术存在的另一个重要问题在于网络中必须要接入大量的路由器与可以实现认证的数据交换[5]。Ingress Filtering主要部署在不同网络连接处的防火墙或路由器当中，并实现对信息中的IP地址的来源进行验证，现阶段Ingress Filtering在IP地址伪造防护中是最常用的技术，同时也是最轻量的方案，但是Ingress Filtering从本质上来说并不是一种防护技术，而是一种“自律”技术，即通过规范式的部署约束双方的行为以实现有效验证。DPF主要是通过网络拓扑信息实现对IP地址真伪的验证，因为在网络中从某个IP地址到达另一地址所经过的链路是完全固定的，如果接收端知道信息发送者会从固定的链路发送信息，则必然会自动过滤掉从其他方向发送来的信息。但是DPF防护方案也存在着较大的局限性，即如果只在网络中部署单个路由器，则无法起到较好的过滤效果，这主要是由于单个路由的链路较少，同时DPF也无法有效实现反向攻击过滤。Passports是一种在报文中添加报文需要经过的全部自治域所要检查的签名方法，其防护机制借鉴了传统密码学中的相关内容，但是与端对端防护技术相比，Passports防护技术可以在攻击发动之前就实现对问题信息的有效过滤。

控制展示模式通过前端jQuery调用Silverlight内的方法实现,集成第三方网页方面通过服务器上定制过滤规律,移除X-Frame-Options HTTP响应头,让部分无法嵌入网页展示的网站可以嵌入到展示平台中。平台通过PDF插件将文件转化为保存在服务器,通过Viewjs插件实现文件的在线预览、下载。采用Highcharts控件,通过调用Highcharts API,结合自定义的json配置文件,支持直线图、曲线图等数据可视化展示,同时可集成在同一个图形中形成综合图。

信息标记即是在信息中增加路由器的标记，信息的接受者可以实现对信息传输路径的全面追踪，从而可以有效地找到攻击者的具体位置。信息标记可以有效实现对信息的追踪，但是在大型网络中这种追踪技术的有效性会受到很大的限制，因为随着网络规模的扩大，信息标记的数量也逐渐增多，之前的标记也会被逐渐覆盖，追踪效率会受到较大的影响。路由器记录即通过路由器对信息位图进行记录，因此信息接收端所接受的信息伪造都可以被完全定位下来，一旦发生网络攻击则可以针对具体位置采取对应的处理措施。路由器记录属于一种轻量级的防护技术，追踪效率较高，但是其内置的Hash文件不能发生碰撞，否则就无法实现来源追踪。收集器处理是指利用一个收集器处理来自路由器的报文或消息,根据收集器获得的信息确定报文的路径。这种实现方式给路由器造成的负担是最小的, 因为路由器不必进行标记或者记录, 只需要转发特定的报文，但是收集器容易成为网络的瓶颈。

4 结语

现阶段较为常用的端到端防护技术主要有IPSec技术、SPM技术以及APPA技术三种不同的形式。IPSec技术主要针对主机的验证，其对IP地址真伪的验证主要是通过私钥完成的，即在所发送的信息中需要增加AH证头，接受方可以利用信息发送方所传递的公钥实现对AH证头的解密。现阶段IPSec是保护粒度等级认证最高的防护机制。SPM采用的是一种基于域间真实地址防护的认证机制，在这种认证机制中，当信息离开自治域时网关的路由器会自动在信息中增加一对数字签名，当信息到达目的域之后，通过对签名的检查就可以对IP地址的真实性进行验证，如果信息没有签名或者签名出现错误，则信息会被直接丢弃而不会被接收端接收。从本质上来说，SPM技术并没有采用任何加密技术，因此这种IP地址真伪性验证方案在架构上较为简单，在多种情况下都可以起到验证作用。APPA与SPM防御之间存在一定的共同特征，即对IP地址真伪性验证都是通过对双方共享的签名来完成的。APPA与SPM之间的差异在于，APPA主要是通过一种双方共有的Hash函数实现对数字签名的认证，信息发送方通过这种方式，与接受方之间的沟通次数可以得到有效的控制，使得验证情况更加简单，有效避免了复杂问题的产生，同时APPA能够持续生产数字签名，所有签名都只能使用一次，因此验证的有效性可以得到提高。

路径过滤防护与端到端防护之间存在着较为明显的差异，即端到端技术并不会在信息传播路径上对IP地址的真伪性进行验证，而路径过滤则是在信息传播路径上实现对IP地址的验证，一旦发送信息的IP地址被验证为伪造的，则其所发送的信息就会被立即过滤掉，并不会传递到信息接收端。由于路径过滤技术可以在信息传播路径中就实现对伪造IP地址所发送文件的过滤，因此可以有效避免信息接收端所受到的攻击，保障接收端工作的稳定性。路径过滤技术在DOS攻击防御方面具有良好的性能。但是由于路径过滤技术使用了与路径相关的基础信息，一旦路由发生不稳定的现象，则也有可能将正确的信息过滤掉。

现阶段针对IP地址伪造防护技术的研究已经较为成熟，根据防护方式的不同可以将IP地址伪造防护技术分为端到端防护技术、路径过滤技术以及Traceback三种不同的形式。

本研究建立了大鼠HCHF病理模型，钩藤人参合用后，检测大鼠尾动脉压变化，ELISA法测得大鼠血清中BNP、AngII、AT1、β1‐AR水平，测定HWI指数，HE染色后电镜下观察心肌形态，结果表明，钩藤人参合用对HCHF大鼠具有治疗作用，并且呈剂量相关性。

2011年12月，德阳市成立家政服务行业协会，明宏成为首任会长，企业成为国家家政服务龙头型企业。2016年3月，家道家政获得德阳市首个服务业知名商标。

[2] 焦程波,郑辉. 被动式伪造IP数据流地理信息获取技术研究[J]. 四川大学学报(自然科学版),2011,48(6):1287-1292.

[3] 焦程波. 伪造IP数据远程检测方法研究[J]. 计算机应用研究,2011,28(8):3109-3111.

[4] 季秀兰. 基于Logistic映射生成IPv6接口标识符地址的算法[J]. 制造业自动化,2010,32(14):191-193.

以下坝樱桃现代农业高效示范园区建设为示范带动，进一步配套完善乌当樱桃产区各果园的主干道、机耕道、生产便道以及水利设施等相关基础设施建设，不仅可提高生产资料和果品的运输效率，增强对自然灾害的抵御能力，还可减少果品损耗和生产投入成本，提高果品的商品率和市场竞争力。同时，加大农业保险宣传力度，鼓励樱桃种植户积极参保，进一步巩固和扩大乌当樱桃种植保险试点成果，发挥农业保险分散农业风险、保障农民生产生活的作用，确保乌当樱桃产业持续稳步发展。

[5] 陈曦,杨建华,谢高岗. 基于伪造IP地址检测的轻量级DDoS防御方法[J]. 计算机应用研究,2008,25(12):3716-3719.