IP欺骗是伪造的主机IP地址的技术。通过IP地址的伪装使主机也可以伪装一个主机,主机总是有一些特权或信任的另一个主机。在一个典型的地址欺骗的企图,攻击者只是伪装的源数据包看里面从内部网络。下面谈谈如何使用Cisco IOS防止贵公司的网络攻击。
互联网操作系统(IOS)是思科独有的数据包中的核心软件,思科路由器和交换机主要实施,特别是可以配置Cisco路由器的硬件,从一个网络路由或桥接到另一个网络的信息。可以毫不客气地说,”i0S是Cisco路由器的电源。如何使用Cisco IOS防止IP欺骗呢?
阻止IP地址
第一步是停止防止IP欺骗的IP地址造成的风险。虽然攻击者可以欺骗任何IP地址,最常见的IP欺骗的IP地址是私有IP地址(请参考RFC1918)和共享专用IP或其他类型的。
例如,作者将停止下面的IP地址(后面的子网掩码)从互联网上获取本机:
·;10.0.0.0(为)
·;172.16.0.0(255.240.0.0)
·;192.168.0.0(255.255.0.0)
·;127.0.0.0(为)
·;224.0.0.0(224.0.0.0)
·;169.254.0.0(255.255.0.0)
上述上市的互联网是一个私人的不可路由的IP地址或IP地址是用于其他目的,因此不应该出现在互联网上。如果从网上一个源地址的IP地址的通信必须具有欺骗性的通信。
此外,其他常被欺骗的IP地址是您的组织使用任何内部IP地址。如果您使用的是一个私有IP地址,那么你应该属于上面列出的IP地址的范围。然而,如果你使用的是自己的公共IP地址范围,你应该把它添加到上面的列表。
的访问控制列表(ACL)的实施
最简单的方法是防止欺诈使用入口过滤器对所有互联网流量。进入过滤丢弃任何数据包的源地址上面列出的地址。换句话说,就是创建一个ACL(访问控制列表),源地址的数据包丢弃在列表中的IP地址的所有网络。
这里是配置的一个例子:
复制代码
下面的代码:
路由器# conf t
输入配置命令,每行一个。结束与控制键\Z.
Router(config)# IP访问列表扩展入口antispoofrouter(config EXT NaCl)否认IP网络监控# 10.0.0.0 0.255.255.255(config EXT NaCl)#否认IP(config EXT NaCl)0.15.255.255 172.16.0.0软路由否认IP 192.168.0.0 0.0.255.255软路由#(config EXT NaCl)#否认IP 127.0.0.0 0.255.255.255软路由否认IP 224.0.0.0(config EXT NaCl)# 31.255.255.255软路由(配置ext NaCl)否认IP 169.254.0.0 0.0.255.255软路由(#配置ext NaCl允许任何IP网络监控)#(config EXT NaCl)#退出
路由器(config)# int s0 \ \0
Router(config-if)在互联网服务提供商# IP访问组入口antispoof(ISP)必须在网络中使用这个过滤器,这是在RFC 2267中定义的点。请注意,该ACL包含“任何”允许任何IP;。在现实世界中,你可能会在路由器的一个正式的防火墙,以保护内部局域网。
当然,你可以用这个方法来过滤所有从其他子网的数据包到机器的子网络,并确保它不在一个子网的人不会传播到其他网络的数据通信。你也可以实现一个“转移;ACL ";防止IP欺骗等网络内部网络实现。但是,请记住,这只是你的全球网络安全战略的一部分。
使用反向路径转发(测试)
另一种方法来保护网络IP地址欺骗是反向路径转发(RPF),IP认证。在Cisco IOS,反向路径转发(RPF)命令";IP验证";开始。
RPF在一些功能像一个反垃圾邮件解决方案的部分功能来接收电子邮件进来,找到邮件的源地址,然后发送服务器上执行检查操作,来确定发送者是否真的存在将消息发送到服务器。如果发送者不存在,服务器丢弃该邮件,因为它很可能是一个垃圾邮件。
即做一个类似的数据包操作。从一个数据包的网络接收的源地址,在路由器的路由表中的路由应答数据包。如果路由表没有返回的数据包的源IP地址的响应,有人发送欺骗性的数据包,路由器将丢弃该数据包。
下面显示了如何在路由器上配置反向地址转发:
复制代码
下面的代码:
路由器IP CEF(config)#
路由器在路由器\0(config)#
路由器(config-if)IP验证单播反向路径#
保护私有网络攻击者通过以上三种方法对。感谢您的阅读,希望对你有帮助,我们将分享更多精彩文章。
