IP地址欺骗攻击配置解决方案

Internet充满各种安全威胁，其中之一就是IP地址欺骗. 以下内容主要向您介绍IP欺骗技术，并向您说明如何使用Cisco IOS防止IP欺骗，包括阻止IP地址. 前进到路径和其他方面.

一，什么是IP欺骗技术

IP欺骗技术是一种伪造特定主机IP地址的技术. 通过IP地址欺骗本地ip地址欺骗，某个主机可以伪装另一台主机，并且该主机通常具有某些特权或被另一台主机信任.

I0S是Cisco路由器产品的电源. Internet操作系统（IOS）是Cisco独特的核心软件数据包，主要在Cisco路由器和交换机上实现. 特别是，它可以用于配置Cisco路由器硬件，以便它可以将信息从一个网络路由或桥接到另一个网络.

第二，使用Cisco IOS阻止IP地址

防止IP欺骗的第一步是阻止可能构成风险的IP地址. 尽管攻击者可以欺骗任何IP地址，但最常见的欺骗IP地址是私有IP地址和其他类型的共享/特殊IP地址.

例如，阻止以下IP地址（后跟其子网掩码）从Internet访问计算机:

10.0.0.0（255.0.0.0）

172.16.0.0（255.240.0.0）

192.168.0.0（255.255.0.0）

127.0.0.0（255.0.0.0）

224.0.0.0（224.0.0.0）

169.254.0.0（255.255.0.0）

上面列出的是在Internet上不可路由的专用IP地址，或用于其他目的的IP地址，因此它们不应出现在Internet上. 如果来自Internet的通信使用IP地址之一作为源地址，则它必须具有欺骗性. 其他经常被欺骗的IP地址是您的组织使用的任何内部IP地址. 如果您使用所有私有IP地址，则您的范围应属于上面列出的IP地址. 但是，如果您使用自己的公用IP地址范围，则应将其添加到上面的列表中.

三，实施访问控制列表（ACL）

防止欺骗的最简单方法是对所有Internet通信使用入口过滤器. 进入过滤器将丢弃源地址为上面列出的地址的所有数据包. 换句话说，将创建一个ACL（访问控制列表）以丢弃所有源地址为上述列表中IP地址的数据包.

以下是配置示例:

Router#conf t输入配置命令，每行一个. 以CNTL / Z结尾. 路由器（config）#ip访问列表ext入口反欺骗路由器（config-ext-nacl）#拒绝ip 10.0.0.0 0.255. 255.255任何路由器（config-ext-nacl）#拒绝IP 172.16.0.0 0.15.255.255任何路由器（config-ext-nacl）#拒绝IP 192.168.0.0 0.0.255.255任何路由器（config-ext-nacl）#拒绝IP 127.0 .0.0 0.255.255.255任何路由器（config-ext-nacl）#拒绝ip 224.0.0.0 31.255.255.255任何路由器（config-ext-nacl）#拒绝ip 169.254.0.0 0.0.255.255任何路由器（config-ext-nacl） #允许ip任何路由器（config-ext-nacl）#退出路由器（config）#int s0 / 0路由器（config-if）#ip Internet服务提供商（ISP）中的访问组入口反欺骗RFC 2267中使用了这种过滤. 请注意，此ACL操作包括“ permit ip any any”. 在现实世界中，您可能在路由器中有一个正式的防火墙来保护内部LAN. 当然，您可以使用此方法过滤进入计算机所在子网且来自网络内其他子网的所有数据包，以确保子网中没有人将欺骗性的数据通信传递给其他Internet. 您还可以实现“推出ACL”，以防止内部网络欺骗其他网络的IP地址. 但是，请记住，这只是您的全球网络安全策略的一部分.

四，使用反向路径转发（IP验证）

保护网络免受IP地址欺骗的另一种方法是反向路径转发（RPF），这是IP身份验证. 在Cisco的IOS中，用于反向路径转发（RPF）的命令以ip verify开头.

RPF的工作原理类似于反垃圾邮件解决方案. 该功能的这一部分接收传入的电子邮件，查找源电子邮件的源地址，然后在发送服务器上执行检查操作，以确定发件人是否确实存在于发送消息的服务器上. 如果发件人不存在本地ip地址欺骗，则服务器会丢弃该电子邮件，因为它很可能是垃圾邮件.

RPF对数据包执行类似的操作. 它获取从Internet接收到的数据包的源地址，并检查路由器的路由表中是否存在可以应答该数据包的路由. 如果路由表中没有路由作为对返回到源IP地址的数据包的响应，则有人发送了欺骗性的数据包，而路由器则丢弃了该数据包.

下面显示了如何在路由器中配置反向地址转发:

路由器（config）#ip cef路由器（config）#int serial0 / 0路由器（config-if）#ip verify单播反向路径保护保护私有网络不受攻击者非常重要. 您在保护网络免受IP地址欺骗方面发挥着重要作用.

使用Cisco IOS防止网络在典型的地址欺骗尝试中受到攻击. 攻击者只是伪装源数据包，使其看起来像是来自内部网络的攻击. 有帮助.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-230464-1.html