Spoofing is je voordoen als iemand anders. Bij een DDoS-aanval wordt vaak gebruikt gemaakt van IP spoofing. IP-spoofing wil zeggen dat de aanvaller IPpakketten verstuurt met een source IP-adres van andere systemen. Op deze manier kunnen resources op een systeem worden geblokkeerd en is de identiteit van de aanvaller lastig te achterhalen.

Bij IP-spoofing worden de volgende IP-adressen gebruikt:

1. RFC1918 IP-adressen. Dit zijn IP-adressen die op private netwerken kunnen worden gebruikt.
2. IP-blokken die door IANA nog niet zijn uitgedeeld aan een LIR (Local Routing Registry), zoals bijvoorbeeld RIPE. Een overzicht van deze IP-blokken vindt u via: http://www.iana.org/assignments/ipv4-address-space. IP-blokken die nog in bezit zijn van IANA zijn aangemerkt als ‘IANA - Reserved’. Deze IP-blokken kunnen worden misbruikt voor IP-spoofing.
3. IP-adressen die door een LIR of een provider niet nog niet zijn uitgedeeld. Providers beschikken vaak over grote IP-blokken waarvan nog niet alles is uitgedeeld. De IP-adressen die nog niet in gebruik zijn, kunnen worden gebruikt voor IP-spoofing.
4. IP-adressen die geen IP-pakketten hebben gestuurd. Het gaat hier om actieve- of inactieve IP-adressen van systemen die initieel geen IP-pakketten hebben gestuurd naar het aangevallen systeem.