谷歌已运行其安全浏览（ Safe Browsing）服务四年了，网络浏览应用一直致力于提供一个开放的服务，能核查是否一个特别站点有恶意软件或者钓鱼式攻击。前不久，谷歌发布了一个叫做“关于网络恶意软件检测的趋势（Trends in Circumventing Web-Malware Detection）”的报告，报告了恶意软件的分布状况：认为社会工程学（social engineering）攻击占了一小部分，路过式感染是网络最常见的攻击方式，而最引人注目的，是IP地址欺诈（IP spoofing）呈现出明显上升趋势。

　　社会工程学攻击能诱使人们下载并安装带有病毒的恶意插件和软件，尽管这种方法只运用在大约2%的站点上，但仍呈现上升趋势；而路过式下载仍然是最流行的恶意软件载体，在这种感染中，攻击者能利用浏览器或者浏览器插件中的一个漏洞来感染受害者。总的来说，谷歌发现恶意软件散布者依赖于发掘浏览器的薄弱点或者安装恶意软件插件到用户的电脑系统中。谷歌的安全浏览服务有自动化的工具，能够扫描这些恶意站点，接着把它们添加到自己的恶意站点数据库当中。

　　近几年来，谷歌安全浏览服务已发现越来越多的恶意站点致力于IP地址欺诈。

　　来源：Google Technical Report:Trends in Circumventing Web-Malware Detection于是，恶意软件编写者开始不断地转向IP地址欺诈，以避免被检测出来。在这种情况下，这种技巧并不是运用路由器诡计（即让网络交通从一个来源而来看起来像是从另一个来源而来），取而代之的是，恶意软件编写者尝试探测从谷歌安全浏览调查的连接，并提供非常安全的、无害的网站页面到这些检测服务器。当然，服务器检测到的是假相，而恶意软件的真实面目则隐藏起来。

　　“网站障眼法后面的概念非常简单：给探测系统提供健康的内容，而给正常的网页浏览者提供恶意的内容，”卢卡斯?巴拉德（ Lucas Ballard）和尼尔斯?普罗伍思（Niels Provos）在谷歌在线安全博客上写到，“近几年来，我们已发现越来越多的恶意站点致力于IP地址欺诈。”

　　《关于网络恶意软件检测的趋势》报告显示，截止到2010年9月，约有16万个网站采用了“隐藏域名（ cloaking domains）”。而在两年前，“隐藏域名”达到其顶峰，当时约有20万个网站使用了IP伪装，比上一年增加了5万个网站。这个报告是基于谷歌安全浏览服务四年来采集的数据，覆盖了大约1.6亿个网页，共存在于约800万个网络站点中。

　　谷歌认为，在多数情况下，浏览器和插件的薄弱点被恶意软件散布者只利用一个相对较短的时间，只要一个新的薄弱点被发掘出来，或者说一个旧的薄弱点被安全专家解决，那么恶意软件编写者将迅速转移到一块新的领地。

　　与此同时，谷歌强调它将不断调整其扫描器以适应其“最先进的恶意软件探测”能力，并填补IP地址欺诈技术空白；谷歌认为，恶意软件散布者和谷歌安全服务将会是一个长期的“军备竞赛（an arms race）”。