源路由是一种基于源地址进行路由选择的策略，可以实现根据多个不同子网或区域网路地址，有选择性地将数据包发往不同目的地址的功能。

例如有某路由器连线有两个区域网路和两个外网

接口A：192.168.1.0/24 和接口B：192.168.2.0/24，接口C：10.10.10.10/30，接口D：20.20.20.20/30

要求网路A的请求访问发往网路C，而网路B的请求访问发往网路D，可以这样的设定源路由：

SourceIP/NetMask GateWay Interface

192.168.1.0/24 10.10.10.09 接口C

192.168.2.0/24 20.20.20.19 接口D

先从源路由如何向连线在外地链路上的移动节点传送数据包开始。 I P版本4在I P报头中定义了一个可选项：Loose Source and Record Route Option。这个可选项列出了一个或多箇中间目的地址，要求数据包在到达最终的目的地址前必须经过这几个中间地址。

例如，考虑一台源主机要向一台目的主机传送数据包，但它还想让数据包经过从源到目的地的路径上的一台特定路由器，这台源主机将“下一个中间目的”地址，即那台路由器的地址，放在目的 I P地址域中，而将目的主机的 I P地址放在 Loose Source and Record Route Op t i o n中，这时，数据包将按网路前缀路由被送到目的 I P地址域中标示的那台路由器上。

当那台路由器接收到数据包后，它检查可选项，发现自己只是一个中间目的地，于是，将Loose Source and Record Route Option 中所指示的地址取出， 也就是将目的主机的地址取出，然后将数据包送给去往目的主机的下一跳地址。在转发该数据包前，路由器将自己的 I P地址记录在Loose Source and Record Route Option中，实际上记录的是它将数据包转发出去的那个连线埠的I P地址。

当数据包到达目的主机时，目的主机检查可选项，发现自己就是包的最终目的地，因此目的主机将数据包送交 I P协定域所指示的高层协定处理。 I P报头中定义的这个可选项还要求。当目的主机对源主机进行回答时，也要在它的数据包中包含 Loose Source and Record Route O p t i o n。当然，目的主机应包含的是“反向”的源路由。在这个例子中，目的主机在向原来的源主机传送数据包时，会在Loose Source and Record Route Option 中包含作为中间目的地的那台路由器的地址。

源路由选项是IP数据报选项的其中之一，可用于测试某特定网路的吞吐率，也可以是数据报绕开出错的网路。

源路由可以分为两类，一类是严格源路由选项（Strict Source Route），一类是鬆散源路由选项（Loose Source Route）。

严格源路由选项：规定IP数据报要经过路径上的每一个路由器，相邻路由器之间不得有中间路由器，并且所经过的路由器的顺序不可更改。

鬆散源路由选项：只是给出IP数据报必须经过的一些“要点”，并不给出一条完备的路径，无直接连线的路由器之间的路由尚需IP软体的定址功能补充。

源地址欺骗(Source Address Spoofing)、IP欺骗(IP Spoofing)其基本原理:是利用IP位址并不是出厂的时候与MAC固定在一起的，攻击者通过自封包和修改网路节点的IP位址，冒充某个可信节点的IP位址，进行攻击。

1. 瘫痪真正拥有IP的可信主机，伪装可信主机攻击伺服器;

2. 中间人攻击;

(2) 源路由选择欺骗(Source Routing Spoofing)。原理:利用IP数据包中的一个选项-IP Source Routing来指定路由，利用可信用户对伺服器进行攻击，特别是基于UDP协定的由于其是面向非连线的，更容易被利用来攻击;

(3) 路由选择信息协定攻击(RIP Attacks)。原理:攻击者在网上发布假的路由信息，再通过ICMP重定向来欺骗伺服器路由器和主机，将正常的路由器标誌为失效，从而达到攻击的目的。

(4) TCP序列号欺骗和攻击(TCP Sequence Number Spoofing and Attack),基本有三种：

1. 伪造TCP序列号，构造一个伪装的TCP封包，对网路上可信主机进行攻击;

2. SYN攻击(SYN Attack)。这类攻击手法花样很多，蔚为大观。但是其原理基本一致，让TCP协定无法完成三次握手协定;

3. Teardrop攻击(Teardrop Attack)和Land攻击(Land Attack)。原理:利用系统接收IP数据包，对数据包长度和偏移不严格的漏洞进行的。

ip地址欺骗 这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP位址,从而冒充另外一台机器与伺服器打交道。防火墙可以识别这种ip欺骗。

IP位址欺骗是指行动产生的IP数据包伪造的源IP位址，以便冒充其他系统或保护髮件人的身分。 欺骗也可以是指伪造或使用伪造的标题就以电子邮件或网路新闻-再次-保护髮件人的身分和误导接收器或网路，以原产地和有效性传送数据。

基本的IP位址欺骗

Internet协定或IP是根本议定书传送/接收数据通过计算机网路和网际网路。 与网际网路通讯协定，每包传送或接收包含有关的资料的运作，例如来源地和目的地的数据包。 与IP位址欺骗，信息放置在源栏位是不实际的来源，该数据包。 通过使用不同的地址在源领域的数据包，实际发件人可以使像包，被送往由另一台计算机上，从而反应目标计算机将被传送到假地址中指定的数据包-除非攻击者要重定向的反应，他自己的电脑。

影响IP位址欺骗

IP位址欺骗是非常有益的，特别是在案件拒绝服务（ DoS ）攻击，如大量的信息被传送到目标计算机或系统没有肇事者关心的反应，目标系统。 这种类型的攻击，特别是有效的，因为攻击数据包，似乎即将从不同的来源，因此，肇事者是难以追查。

黑客使用的IP位址欺骗，经常利用随机选择的IP位址从整个频谱的IP位址空间的同时，一些更先进的黑客仅使用未经注册的部分IP位址範围。 IP位址欺骗，但是，是不那幺有效，比使用殭尸网路为DoS攻击，因为它可以被监控网际网路当局利用散射技术可以判断DoS攻击的基础上，有多少无效的IP位址使用的攻击。 不过，它仍然是一个可行的替代办法，为黑客的攻击。

IP位址欺骗，也是一个非常有用的工具，在网路的渗透和克服网路安全保密措施。 发生这种情况时， IP位址spoofers使用受信任的IP位址，内部网路，从而规避需要提供一个使用者名称或密码登录到该系统。 这类攻击通常是基于一组特定的主机控制（如rhosts ）是不安全的配置。

IP位址欺骗的防御

侵入过滤或包过滤传入的流量，从体制外的使用技术是一种有效方式，防IP位址欺骗，因为这种技术可以判断如果数据包是来自内部或外部的制度。 因此，出口过滤也可以阻止假冒IP位址的数据包从退出制度和发动攻击，对其他网路。

上层协定，如TCP连线或传输控制协定，其中序列号码是用来建立了一个安全的连线与其他系统也是一个有效的方法，防IP位址欺骗。

关闭源路由（鬆散和严格的）对您的网路路由器也可协助防止黑客利用欺骗的许多功能。 源路由是一个技术的广泛使用，在过去，以防止一个单一的网路故障造成的重大网路故障，但目前的路由协定网际网路上的今天使得这一切，但不必要的。