您不必担心从不同的连接欺骗 IP，因为在这种情况下，返回的 TCP 数据包不会到达攻击者。

因此，您只需要担心攻击者利用该 IP 的难易程度：

• 该 IP 是否在办公室中的多台计算机之间共享？
• 那个IP可以用在WiFi上吗？当访客说“我可以使用你的 WiFi”时，密码的保存情况如何？
• 所有可以访问该 IP 的计算机是否都得到了很好的保护，并且有合格的用户？

如果IP没有保存好，那么你应该问

• 除了IP，能不能在授权的单机上存储cookie？
  （即有限使用的记住我功能）

我赞扬您的客户没有使用记住密码功能，因为这很诱人。

此外，您的内容有多安全？

• 未经授权的人查看的内容有哪些损害？
• 您的内容会吸引什么样的攻击者？

正如其他人指出的那样，单独的 IP欺骗在这里不是问题，因为 TCP 的三次握手不会完成。

如果您在访问列表中使用公共地址，BGP 劫持与 IP 欺骗相结合可能会导致某种理论上的攻击。在这种情况下，攻击者会欺骗访问列表中的 IP 地址，因此流量来自受信任的 IP，并且他会将路由器插入到全局 BGP 表中，以将返回流量重新路由到他的网络。这样，就完成了三次 TCP 握手。

正如我所说，这远不是一种常见的攻击，因为它需要一些额外的技能和在没有适当的路由过滤的情况下访问网络，但它是可以做到的。BGP 劫持并不少见。虽然大部分都是意外，但BGP劫持已经被用于攻击。

所以最后回答你的问题：如果你重视你的数据，不要只信任基于源 IP 地址的连接。

我会说IP 欺骗几乎已经摆在桌面上。没有什么能阻止有权访问数据中心基础设施的人（例如员工）使用无密码地址伪造 IP 数据包，并通过更改路由器配置或连接到正确的位置并以混杂模式监听来捕获回复。

OP 正在有效地向其托管服务提供商或任何能够破解该提供商的人提供对该网站的访问权限。

正如其他答案已经表明的那样，可以绕过这个安全系统。但这需要一些努力。下一个问题是，您要保护什么，更容易访问的价值是什么，以及绕过保护的成本是多少。因为您可以预期它会被规避。

这种保护是常用的。例如，在 acedemia 中允许从大学网络中读取期刊。这使教授和学生更容易访问期刊。如果访问期刊的人中有 1% 是非法的，则可以忽略不计。如果访问您客户数据库的 PII 的人中有 0.01% 是非法的，那么您就有大问题了。