思科IOS防止遭受IP地址欺骗攻击的三种办法
最后更新:2021-12-16 23:04:18 手机定位技术交流文章
IP欺骗技术被用于在主机上建立IP地址。IP 地址的封面允许一个主机冒充另一个主机 。这个宿主经常得到特殊待遇 或者被另一个宿主信任共同企图欺骗地址攻击者只是把原始数据包伪装成网络的内部内容。现在让我讨论一下 如何利用思科斯 来保护你们公司的网络 免受这种攻击
因特网操作系统是思科开发的基本软件包。这主要是在思科路由器和总机上完成的。它可以特别用于设置思科路由器硬件。它将数据从一个网络路线或桥梁传输到另一个网络路线或桥梁。可以毫不客气地说,Cisco路由器装置由 I0S 驱动。那么,我们如何利用思科斯来打击IP欺诈?
阻止IP地址
打击知识产权欺诈的第一步是限制构成危险的知识产权地址。 尽管攻击者可能会误导任何知识产权地址,但私人知识产权地址是最常被误导的地址(参见RFC 1918),以及其他类型的共享/特殊知识产权地址。
例如,我阻止互联网接入以下IP地址(基于其子网遮罩):
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
这些是无法在互联网上进入的私人IP地址,或出于其他原因使用的、不应在互联网上出现的IP地址。 任何基于IP地址之一的互联网通信都必须是伪造的。
此外,其他经常被误导的知识产权地址包括贵公司使用的任何内部知识产权地址。如果您使用所有的私人 IP 地址,那么您应该位于上面给出的 IP 地址范围内 。然而,如果你使用你自己的一套公用IP地址您应该将其列入上一个列表 。
使用使用控制清单。
避免欺骗的最直截了当的方法是对所有互联网对话使用一个接入过滤器。当允许进入过滤器时,所有带有上述源地址的数据包都将被丢弃。换句话说,这是ACL的开发。前一个列表中的IP地址的数据包是所有进入网络的源地址。
配置的一个例子如下:
复制代码
代码如下:Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoofRouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyRouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyRouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyRouter(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 anyRouter(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)# exit
Router(config)#int s0/0
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoofRouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyRouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyRouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyRouter(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 anyRouter(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)# exit
Router(config)#int s0/0
互联网服务提供商(ISPs)必须透过路由器(Config-if)#ip接入组指数对网络应用这个过滤器。RFC 2267具体规定了这一点。注意ACL行动中的“IP许可”一词。路由器可能有正式的防火墙保护局域网内部安全
当然,这种方法可用于过滤从网络内其他子网进入网络的所有数据包。防止任何非子网络成员向另一个网络发送虚假数据传输。“转让ACL”也可以用来防止内部网络从外部网络窃取IP地址。不过,请记住,这只是你整体网络安全方法的一个组成部分。
路径逆向( IIP 验证)
反向传输(RPF)方法是保护网络不受IP地址欺诈的另一种选择。 IP 验证 。 在 Cisco 的 IOS 中, 反向再传输( RPF) 命令从“ ip 矢量 ” 开始 。
RPF作为反垃圾邮件解决办法的一部分发挥作用。该方法部分接受收到的电子邮件信息。无法关闭临时文件夹:%s。然后到发件人那里做检查程序。确定发件人是否出现在发送信件的服务器上。如果发送者不存在,这篇文章是全球之声在线特稿的一部分。因为它几乎肯定是垃圾邮件。
就数据包而言,区域政策框架也采用类似的程序。它获得因特网数据包的源地址。为回应这个数据包,请看路由器的路由器表是否有路由器。如果路线表中没有一条路径可以回复返回原 IP 地址的软件包,然后有人传送了一个假数据包数据包被路由器丢弃 。
下列步骤显示如何配置路由器的反向地址 :
复制代码
代码如下:Router(config)# ip cef
Router(config)# int serial0/0
Router(config-if)# ip verify unicast reverse-path
Router(config)# int serial0/0
Router(config-if)# ip verify unicast reverse-path
保护私人网络不受入侵者入侵有三种技术。 谢谢您阅读, 我希望这些信息对您有用。 请注意中文的 html, 我们会尽力提供更伟大的东西 。
本文由 在线网速测试 整理编辑,转载请注明出处。
