La suplantación de IP (lo que usted llama incorrectamente "piratear la dirección IP de los paquetes") no es fácil para TCP porque también debería poder recibir la respuesta incluso antes de poder enviar datos reales de la aplicación (como una solicitud HTTP) ).
Las restricciones basadas en IP nunca deben ser la única línea de defensa, pero es una buena idea seguir usándola para bloquear cuentas administrativas cuando solo planea usarlas desde la misma ubicación de red; en el desafortunado caso de que sus credenciales se vean comprometidas, el atacante también tendrá que acceder de alguna manera a esa ubicación de confianza (al comprometer a esa máquina o al enrutador en su camino hacia su sistema bloqueado para que parezca que proviene de esa ubicación y reciba la paquetes de respuesta) para poder usarlo como un pivote para iniciar sesión en el sistema bloqueado utilizando esas credenciales