必须指出一个重点，即 IP 欺骗是有限制的。当攻击者对他发送的数据包使用假 IP 时，他通常无法接收到答案，除非他对整个网络具有一定的广泛权力：这是因为响应将被发送到假 IP，而不是攻击者的实际IP地址。特别是，这使得攻击者很难伪造 TCP 连接的 IP 地址。

事实上，大多数成功的入侵都具有非欺骗组件。攻击者使用中继主机（世界各地的受损机器）试图让它们更难追踪，但这不是欺骗。

在某些情况下可以检测到欺骗，因为它“看起来很奇怪”。考虑一个 ISP；从 ISP 的角度来看，有两种 IP 地址：其地址（即他授予其客户的地址）和世界其他地址。在 ISP 路由器中，具有“外部”源地址的数据包应被视为传入数据包（来自外部），而不是传出数据包；对于具有“内部”源地址的数据包，反之亦然。如果其中一个 ISP 客户发送了一个带有欺骗性外部地址的数据包，这将显示为一个传出数据包，来自内部，但具有外部源地址；ISP 路由器会发现这种异常发生并可能报告。

您的问题似乎表明您不了解IP的工作原理、IP路由的工作原理以及TCP是如何在其之上实现的（顺便说一下，IP 地址欺骗的真正含义）

路由

IP 实现了路由数据报协议：每个数据报（数据包）具有（除其他外）源地址、目标地址和有效负载（还有许多其他属性，但它们不影响本文的讨论）。

在最简单的情况下（即没有任何类型的过滤或NATing），沿途的每个路由器只查看目标地址，将其与自己的路由表进行匹配，然后将其转发到正确接口上的下一跳。返回地址仅在路径末端由系统查看（目标主机，或者，如果数据包已被提前丢弃，则需要发回通知的系统）。

欺骗

欺骗源 IP 意味着用某个其他随机主机替换数据包的源地址。它通常（并非唯一）用于隐藏此数据包的来源，以强制目标向欺骗主机的方向发送网络流量（典型的网络流量放大攻击，如DNS 放大）。

因此，检测欺骗数据包只能在靠近流量源的地方进行：在简单的情况下，路径上的第一个路由器有可能检测到数据包中的源地址不属于任何内部它知道的网络，因此可以丢弃它（这称为“出口过滤”）。不幸的是，这种类型的检查只能在网络内部或边缘进行，并且通常只能由防火墙执行，需要仔细设置以避免副作用（因此，没有广泛实施）。

另一种几乎相同的技术，入口过滤，试图将数据包传入网络，但它必须依赖于连接网络的一些知识。通常，它只有过滤设备才知道通过它广泛连接的所有网络（即它在对等成员之间最有用）。

TCP

TCP在 IP 协议之上实现流连接。作为此实现的一部分，它将需要在客户端和服务器之间来回发送多个 IP 数据包以交换任何数据（首先通过 3 次握手建立“连接”，然后通过数据包确认） . 这意味着，如果 TCP 类型的 IP 数据包的源地址不正确，对端将无法向它发送正确的响应，数据包将被丢弃。

在某些特殊情况下，仍然可以在 TCP 连接中欺骗源地址，但这需要流量源能够监视或预测来自目标主机的响应，以便伪造正确的答案。

你的问题

就上述情况而言：

如何找出欺骗 IP 的地址？

假设您的意思是“欺骗数据包的真实地址”，除非您与源位于同一子网中，否则您不能这样做。任何进一步转发的数据包都将丢失越来越多关于流量真实来源的信息（您将只能准确地知道流量来自哪个接口，因此可能会限制它可能源自的潜在网络，但是没有其他的）。

使用了哪些方法？

找到欺骗数据包来源的唯一方法是监控该数据包路径上的每一跳，并确定该流量的来源。然后，你对这个来源做同样的事情，直到你足够缩小潜在来源。这通常需要流量真实路径上的每一跳的合作，这是一个缓慢（且昂贵）的过程。这通常不值得付出努力。

如何检测欺骗性 IP？

这取决于您正在谈论的网络路径的哪一部分。

在最终主机上，这非常困难：您或多或少必须有一种方法来审查每个到达的数据包（例如，通过阻止来自外部网络的数据报流量到达您的主机并且只允许 TCP 或类似的协议。

在流量源处或附近，这要容易得多：您只需丢弃每个源地址不属于您知道连接到特定接口的网络的数据包。

在这两者之间，您可以使用输入/输出规则过滤流量（尽管您获得的流量来源越远，效率就越低）。

如果攻击者（或其他人）欺骗了他们的 IP 地址，就 TCP/IP 而言，如果正确执行，请求看起来就像来自欺骗 IP 的真实请求，并且欺骗 IP 将收到来自服务器的响应，而不是攻击者/发送者。除非您对网络有一定的控制权，即路由请求的机器，否则您将无法跟踪它。

我认为“具有“外部”源地址的数据包应被视为传入数据包”的上述答案意味着任何不属于 ISP 拥有的 IP 块的入站请求都被视为外部请求。