当前所在位置: 首页 > 数码科技 > 正文

思科IOS防止遭受IP地址欺骗攻击的三种办法

2023-10-23 本站作者 【 字体:

IP欺骗技术就是伪造某台主机的IP 地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利用思科IOS防止你公司的网络遭到这种攻击。

互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?

阻止IP地址

防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。

例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:

·10.0.0.0(255.0.0.0)

·172.16.0.0(255.240.0.0)

·192.168.0.0(255.255.0.0)

·127.0.0.0(255.0.0.0)

·224.0.0.0(224.0.0.0)

·169.254.0.0(255.255.0.0)

以上所列示的是私有的在互联网上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不应出现在互联网上。如果来自互联网的通信以其中某个IP地址为源地址,必定是欺骗性的通信。

此外,其它常被欺骗的IP地址是那些你的组织使用的任何内部IP地址。如果你正使用全部的私有IP地址,那你的范围就应该属于以上所列示的IP地址。然而,如果你正使用自己的公有IP地址范围,你就应该将其加入到以上列表中。

实施访问控制列表(ACL)

最简单的防止欺骗的方法就是对所有的互联网通信使用一个进入过滤器。进入过滤器会丢弃源地址为以上所列地址的任何数据包。换句话说,就是创建一个ACL(access control list),使之丢弃所有进入的网络的源地址为上述列表中IP地址的数据包。

下面是一个配置的例子:

复制代码

代码如下:

Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoofRouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyRouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyRouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyRouter(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 anyRouter(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)# exit
Router(config)#int s0/0

Router(config-if)#ip access-group ingress-antispoof in互联网服务供应商(ISP)必须在其网络中使用这样的过滤,这一点是在RFC 2267中定义的。注意此ACL操作中包含"permit ip any any".在现实世界中,你可能会在路由器中有一个正式的防火墙,用以保护内部LAN.

当然,你可以将此方法用于过滤所有进入本机所在子网的、来自网络内部其它子网的数据包,以确保不在某子网内的任何人不会将欺骗性的数据通信传到其它网络。你也可以实施一个"转出ACL"来防止内部网络从其它网络实施IP地址欺骗。不过,请记住,这仅是你全局网络安全策略的一个局部而已。

使用反向路径转发(IP验证)

另一个保护网络免受IP地址欺骗的方法是反向路径转发(RPF),即IP验证。在思科的IOS中,用于反向路径转发(RPF)的命令是以"ip verify"开始的。

RPF在工作起来就象一个反垃圾邮件解决方案的部分功能一样,该功能部分收到进入的电子邮件消息,找到源电子邮件的源地址,然后到发送服务器上执行一个检查操作,确定发送者是否真的存在于发送消息的服务器上。如果发送者不存在,服务器就丢弃此电子邮件消息,因为它极有可能是一个垃圾邮件。

RPF对数据包作出相似的操作。它取出所收到的来自互联网的某个数据包的源地址,查看在路由器的路由表中是否存在一个路由可以应答此数据包。如果路由表中没有路由来作为返回给源IP地址的数据包的应答,那么就是有人发送了欺骗性数据包,路由器就丢弃这个数据包。

下面展示怎样在路由器中配置反向地址转发:

复制代码

代码如下:

Router(config)# ip cef
Router(config)# int serial0/0
Router(config-if)# ip verify unicast reverse-path

通过以上的三种方法来保护私有网络免受攻击者的侵害。谢谢阅读,希望能帮到大家,请继续关注脚本之家,我们会努力分享更多优秀的文章。

阅读全文
相关推荐

太原市旅游攻略 太原最值得去的地方

太原市旅游攻略 太原最值得去的地方
太原经典1日游:太原第一站先游览山西省博物馆感受5000年的中华文明史,了解感受夏商踪迹、晋国霸业、佛风遗韵、明清晋商文化;然后可以去太原最大的的迎泽公园感受当地人民的生活气息,再去太原食品街寻找美食。

密云古北水镇旅游攻略 密云古北水镇一日游攻略

密云古北水镇旅游攻略 密云古北水镇一日游攻略
古北水镇位于密云东北侧,是一处在古村基础上改造重建的古镇景区。古镇依水而建,即有北方古镇的大气威严,也不失江南水乡的特色,可以泡温泉、品尝美食、爬司马台长城等,是京郊地区休闲度假不错的选择。古镇内不通车,非常适合步行游玩。

银川沙湖旅游攻略 银川沙湖几月份去最好

银川沙湖旅游攻略 银川沙湖几月份去最好
宁夏沙湖旅游景区地处贺兰山下、黄河金岸,20余平方公里沙漠与40余平方公里水域毗邻而居,拥有万亩水域、两千亩芦苇、千亩荷池、五千亩沙丘,这里栖居着白鹤、黑鹤、天鹅等十数种珍鸟奇禽,被誉为“世间少有”的文化旅游胜地。

黔东南旅游攻略 贵州黔东南旅游攻略自由行

黔东南旅游攻略 贵州黔东南旅游攻略自由行
黔东南苗族侗族自治州位于贵州省东南部,地处云贵高原东南边缘,东邻湖南,南接广西,境内居住着苗、侗、汉、布依、水等20多个民族,民族风情非常浓郁。这里有世界上最大的苗寨和最大的侗寨,有独特的吊脚楼、风雨桥、鼓楼。秋季是到黔东南旅行的最好时间,雨水不会像夏季般频繁,气温不会像冬季时寒冷,温度适宜。

青海湖旅游住宿攻略 青海湖环湖住宿攻略

青海湖旅游住宿攻略 青海湖环湖住宿攻略
由于青海湖距离西宁较远,所以建议在青海湖周边过夜,以便欣赏日出日落等美景。目前青海湖周边住宿的选择地方主要有以下几个:一、二郎剑景区附近:这里是青海湖唯一的官方景区,也是观看日出最佳的地点之一。这里有多家酒店和民宿可供选择,价格根据季节和设施不同而不同,旺季每晚约200-500元,淡季每晚约100-300元。

丽江大理洱海旅游攻略 丽江大理攻略最佳旅游攻略

丽江大理洱海旅游攻略 丽江大理攻略最佳旅游攻略
丽江古城一日游攻略:今日主要游览丽江古城,漫步在古城小巷,尽情享受古城慵懒的氛围,还可以在街头巷尾寻觅各式丽江特色小吃来填补肚子。之后前往狮子山,登上狮子山的制高点—万古楼,俯瞰整个丽江古城,运气足够好的话向北可以远眺到玉龙雪山。下了狮子山顺路去木府,近距离欣赏古城内这座仿紫禁城的纳西宫廷式建筑。傍晚回到古城,在四方街感受古城的夜生活,还可以去酒吧消遣一番,说不定会碰上美好的艳遇。古城西侧的狮子山公园是观赏古城全景的最佳去处,除了山顶的万古楼,公园有很多点都可以看到古城和雪山。

长春旅游攻略景点必去 长春市区旅游攻略必去景点

长春旅游攻略景点必去 长春市区旅游攻略必去景点
1、吉林省博物院:吉林省博物院,原名吉林省博物馆。吉林省博物院是一座历史与艺术博物馆,现有文物藏品12万余件,其中一级文物295件、二级文物3379件、三级文物14280件、其它文物近10万件,始自远古,及至现代,精华荟萃,内涵丰富。2、伪满皇宫博物院:伪满洲皇宫博物院建立在伪满皇宫旧址上,是末代皇帝爱新觉罗•溥仪充当伪满洲国傀儡皇帝时居住的宫殿,可见到御用汽车等文物。皇宫可分为进行政治活动的外廷和日常生活的内廷两部分,现分别辟为伪满皇宫陈列馆和伪满帝宫陈列馆,有缉熙楼、中和门、怀远楼、同德殿等建筑景观。

康定新都桥旅游攻略 新都桥必去的几个景点

康定新都桥旅游攻略 新都桥必去的几个景点
新都桥又称东俄罗,位于318国道川藏南北线的分叉路口,号称“摄影家的天堂”。在这可以拍摄到无垠的草甸,曲折的溪流,金黄的秋叶,山坡上大片在觅食的牛羊,散落着的藏族村寨,在金秋来临之际不失为赏秋的好去处,随便一按快门都能得出一张美丽的风景照。此外,国家地理推荐最佳欣赏蜀山之王——贡嘎山的观景点正是在新都桥,天气好可拍摄日照金山之景。

普陀山自驾旅游攻略 普陀山旅游自驾游攻略

普陀山自驾旅游攻略 普陀山旅游自驾游攻略
普陀山在浙江省舟山市普陀区,是舟山群岛1390个岛屿中的一个小岛,形似苍龙卧海,面积近13平方公里,与舟山群岛的沈家门隔海相望,素有“海天佛国”、“南海圣境”之称,是首批国家重点风景名胜区。

南昌旅游攻略景点必去 南昌必看的旅游点

南昌旅游攻略景点必去 南昌必看的旅游点
1、滕王阁:滕王阁临赣江而立,因王勃的《滕王阁序》而闻名,是“江南三大名楼”之一,也是南昌的地标。景区主要由滕王阁主阁,和南北两面的小园子组成,登楼望远是游人来此的主要目的。主阁从外面看是三层带回廊的建筑,其实它里面还有三个暗层和一个设备层,加上两层底座,一共有九层。2、八一广场:位于江西省南昌市的心脏,是江西政治、经济、文化、休闲、娱乐等活动的重要场所。由中心广场、主席台、东西二块游园组成,是江西省最大的城市中心广场。广场中心伫立着由元帅题写的“八一南昌起义纪念塔”,很多游客会在此合影。
本文Tag