IP欺騙是偽造的主機IP地址的技術。通過IP地址的偽裝使主機也可以偽裝一個主機,主機總是有一些特權或信任的另一個主機。在一個典型的地址欺騙的企圖,攻擊者只是偽裝的源數據包看里面從內部網絡。下面談談如何使用Cisco IOS防止貴公司的網絡攻擊。
互聯網操作系統(IOS)是思科獨有的數據包中的核心軟件,思科路由器和交換機主要實施,特別是可以配置Cisco路由器的硬件,從一個網絡路由或橋接到另一個網絡的信息。可以毫不客氣地說,”i0S是Cisco路由器的電源。如何使用Cisco IOS防止IP欺騙呢?
阻止IP地址
第一步是停止防止IP欺騙的IP地址造成的風險。雖然攻擊者可以欺騙任何IP地址,最常見的IP欺騙的IP地址是私有IP地址(請參考RFC1918)和共享專用IP或其他類型的。
例如,作者將停止下面的IP地址(后面的子網掩碼)從互聯網上獲取本機:
·;10.0.0.0(為)
·;172.16.0.0(255.240.0.0)
·;192.168.0.0(255.255.0.0)
·;127.0.0.0(為)
·;224.0.0.0(224.0.0.0)
·;169.254.0.0(255.255.0.0)
上述上市的互聯網是一個私人的不可路由的IP地址或IP地址是用于其他目的,因此不應該出現在互聯網上。如果從網上一個源地址的IP地址的通信必須具有欺騙性的通信。
此外,其他常被欺騙的IP地址是您的組織使用任何內部IP地址。如果您使用的是一個私有IP地址,那么你應該屬于上面列出的IP地址的范圍。然而,如果你使用的是自己的公共IP地址范圍,你應該把它添加到上面的列表。
的訪問控制列表(ACL)的實施
最簡單的方法是防止欺詐使用入口過濾器對所有互聯網流量。進入過濾丟棄任何數據包的源地址上面列出的地址。換句話說,就是創建一個ACL(訪問控制列表),源地址的數據包丟棄在列表中的IP地址的所有網絡。
這里是配置的一個例子:
復制代碼
下面的代碼:
路由器# conf t
輸入配置命令,每行一個。結束與控制鍵\Z.
Router(config)# IP訪問列表擴展入口antispoofrouter(config EXT NaCl)否認IP網絡監控# 10.0.0.0 0.255.255.255(config EXT NaCl)#否認IP(config EXT NaCl)0.15.255.255 172.16.0.0軟路由否認IP 192.168.0.0 0.0.255.255軟路由#(config EXT NaCl)#否認IP 127.0.0.0 0.255.255.255軟路由否認IP 224.0.0.0(config EXT NaCl)# 31.255.255.255軟路由(配置ext NaCl)否認IP 169.254.0.0 0.0.255.255軟路由(#配置ext NaCl允許任何IP網絡監控)#(config EXT NaCl)#退出
路由器(config)# int s0 \ \0
Router(config-if)在互聯網服務提供商# IP訪問組入口antispoof(ISP)必須在網絡中使用這個過濾器,這是在RFC 2267中定義的點。請注意,該ACL包含“任何”允許任何IP;。在現實世界中,你可能會在路由器的一個正式的防火墻,以保護內部局域網。
當然,你可以用這個方法來過濾所有從其他子網的數據包到機器的子網絡,并確保它不在一個子網的人不會傳播到其他網絡的數據通信。你也可以實現一個“轉移;ACL ";防止IP欺騙等網絡內部網絡實現。但是,請記住,這只是你的全球網絡安全戰略的一部分。
使用反向路徑轉發(測試)
另一種方法來保護網絡IP地址欺騙是反向路徑轉發(RPF),IP認證。在Cisco IOS,反向路徑轉發(RPF)命令";IP驗證";開始。
RPF在一些功能像一個反垃圾郵件解決方案的部分功能來接收電子郵件進來,找到郵件的源地址,然后發送服務器上執行檢查操作,來確定發送者是否真的存在將消息發送到服務器。如果發送者不存在,服務器丟棄該郵件,因為它很可能是一個垃圾郵件。
即做一個類似的數據包操作。從一個數據包的網絡接收的源地址,在路由器的路由表中的路由應答數據包。如果路由表沒有返回的數據包的源IP地址的響應,有人發送欺騙性的數據包,路由器將丟棄該數據包。
下面顯示了如何在路由器上配置反向地址轉發:
復制代碼
下面的代碼:
路由器IP CEF(config)#
路由器在路由器\0(config)#
路由器(config-if)IP驗證單播反向路徑#
保護私有網絡攻擊者通過以上三種方法對。感謝您的閱讀,希望對你有幫助,我們將分享更多精彩文章。
