当您说攻击者欺骗 IP 可能不会收到流量返回时，您是对的，但他们可能不想收到。他们可能希望将流量发送到另一个 IP 地址 - 可能是针对该 IP 的拒绝服务攻击。

或者，有些攻击只需要握手的初始部分就可以解除你的防御（你提到了 SYN 洪水）

直接风险较小，但也与一般流量负载相关。我对此的看法是在外围尽可能多地禁止 - 这包括您不使用的流量类型和端口，以及实际上无效的流量。在大多数路由器上执行此操作很简单，这意味着任何深度检测防火墙都必须通过更少的数据包进行拖网，从而减少负载。

空闲扫描取决于源欺骗。但是，许多路由器配置为丢弃具有明显错误源 IP 的流量。许多 ISP 会阻止出站和入站的明显欺骗性地址，因此使用此功能在很大程度上取决于让攻击机进入正确的网段。

您说的是“今天的安全风险”，以下更适用于明天的安全风险，但 ipv6 带来了一些新颖的欺骗问题和解决方案。

在 UDP 等无连接协议中，值得考虑 IP 欺骗的风险。想象一下防火墙限制对一组允许的 IP 地址的访问的情况。知道那些允许的 IP 地址的攻击者可以通过向监听服务发送精心设计的 UDP 数据包来发动有针对性的攻击。

有很多服务使用无连接协议，例如 DNS 就是一个突出的服务。

就像您说的那样，关于 TCP，IP 欺骗的用处变得更加有限，因为您无法建立需要特殊的 3 次（或鲜为人知的 4 次）握手的完整会话。

IP 欺骗不仅仅涵盖 TCP。

老式的smurf 攻击依赖于使用欺骗的源地址向广播地址发送 ICMP ping 请求，以向 DDoS 受害者发送所有 ICMP ping 回复。

恕我直言，最近和令人兴奋的攻击是Dan Kaminsky 发现的 DNS 中毒攻击。检查有多少供应商受到影响。注意：djbdns 不易受到攻击，专门设计用于抵御这种攻击。

由于针对这些漏洞的攻击都依赖于攻击者可预测地欺骗流量的能力，因此在服务器中实施按查询源端口随机化可以在当前协议规范的范围内对这些攻击进行实际缓解。随机源端口可用于在攻击者必须猜测的数据中获得大约 16 个额外的随机位。

...

能够成功实施缓存中毒攻击的攻击者可能会导致名称服务器的客户端联系不正确且可能是恶意的主机以获取特定服务。

中毒的 DNS 允许攻击 SSL，如该 SSL 问题的答案中所述。