首先发送带有SYN（是Sy
chro
ize，同步序列编号）标志的数据段通知A需要建立TCP连接，TCP的可靠性就是由数据包的多位控制字来提供。其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接的初始值（ISN）收到B的SYN包后，会发送给B一个带有SYNACK标志的。A数据段，告知自己的ISN，并确认B发送来的第一个数据段，ACK设置成为B的SYN1。将B确认收到A的SYNACK数据包，ACK设置成为A的SYN1。收到B的ACK后，将A连接成功后，双方就可以正式传输数据了。
1
f因此，IP欺骗攻击的基本步骤为：（1）首先使被信任的主机的网络暂时瘫痪，以免对攻击造成干扰；（2）然后连接到目标机的某个端口来猜测ISN基值和增加规律；（3）接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接。（4）然后，黑客等待目标机发送SYNACK包给已经瘫痪的被信任主机，因为黑客这时看不到这个包。（5）最后再次伪装成被信任主机向目标主机发送ACK，此时发送的数据段带有预测的目标主机ISN1。（6）连接建立发送命令。
四、影响IP地址欺骗攻击
IP地址欺骗是非常有益的，特别是在案件拒绝服务（DoS）攻击，如大量的信息被发送到目标计算机或系统没有肇事者关心的反应，目标系统。这种类型的攻击，特别是有效的，因为攻击数据包，似乎即将从不同的来源，因此，肇事者是难以追查。骇客使用的IP地址欺骗，经常利用随机选择的IP地址从整个频谱的IP地址空间的同时，一些更先进的骇客仅使用未经注册的部分IP地址范围。IP地址欺骗，但是，是不那么有效，比使用僵尸网络为DoS攻击，因为它可以被监控互联网当局利用散射技术可以判断DoS攻击的基础上，有多少无效的IP地址使用的攻击。不过，它仍然是一个可行的替代办法，为骇客的攻击。IP地址欺骗，也是一个非常有用的工具，在网络的渗透和克服网络安全保密措施。发生这种情况时，IP地址spoofers使用受信任的IP地址，内部网络，从而规避需要提供一个使用者名称或密码登录到该系统。这类攻击通常是基于一组特定的主机控制（如rhosts）是不安全的配置。
五、IP地址欺骗攻击的防御
侵入过滤或包过滤传入的交通，从体制外的使用技术是一种有效方式，防IP地址欺骗，因为这种技术可以判断如果数据包是来自内部或外部的制度。因此，出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动攻击，对其他网络。虽然IP欺骗攻击有着相当难度，但我们应r