思科IOS防止遭受IP位址欺騙攻擊的三種辦法

2022-09-24 18:45:09 字數 2544 閱讀 8360

ip欺騙技術就是偽造某台主機的ip 位址的技術。通過ip位址的偽裝使得某台主機能夠偽裝另外的一台主機,而這台主機往往具有某種特權或者被另外的主機所信任。在一次典型的位址欺騙嘗試中,攻擊者只是簡單地偽裝源資料報使其看起來是內自于內部網路。下面談一下怎樣利用思科ios防止你公司的網路遭到這種攻擊。

網際網路作業系統(ios)是思科特有的核心軟體資料報,主要在思科路由器和交換機上實現,特別是可用它配置cisco路由器硬體,令其將資訊從乙個網路路由或橋接至另乙個網路。可以毫不客氣地說,i0s是思科路由器產品的動力之源程式設計客棧。那麼怎樣利用思科ios防止ip欺騙呢?

阻止ip位址

防止ip欺騙的第程式設計客棧一步就是阻止能造成風險的ip位址。雖然攻擊者可以欺騙任何ip位址,最常被欺騙的ip位址是私有ip位址(請參考rfc1918)和其它型別的共享/特別的ip位址。

例如,筆者就阻止如下的ip位址(後面緊跟著其子網掩碼)從internet訪問本機:

·10.0.0.0(255.0.0.0)

·172.16.0.0(255.240.0.0)

·192.168.0.0(255.255.0.0)

·127.0.0.0(255.0.0.0)

·224.0.0.0(224.0.0.0)

·www.cppcns.com169.254.0.0(255.255.0.0)

以上所列示的是私有的在網際網路上不可路由的ip位址,抑或是用於其它目的的ip位址,因此不應出現在網際網路上。如果來自網際網路的通訊以其中某個ip位址為源位址,必定是欺騙性的通訊。

此外,其它常被欺騙的ip位址是那些你的組織使用的任何內部ip位址。如果你正使用全部的私有ip位址,那你的範圍就應該屬於以上所列示的ip位址。然而,如果你正使用自己的公有ip位址範圍,你就應該將其加入到以上列表中。

實施訪問控制列表(acl)

最簡單的防止欺騙的方法就是對所有的網際網路通訊程式設計客棧使用乙個進入過濾器。進入過濾器會丟棄源位址為以上所列位址的任何資料報。換句話說,就是建立乙個acl(access control list),使之丟棄所有進入的網路的源位址為上述列表中ip位址的資料報。

下面是乙個配置的例子:

複製**

**如下:

router# conf t

enter configuration commands, one per line. end with cntl/z.

router(config)# ip access-list ext ingress-antispoofrouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyrouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyrouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyrouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyrouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyrouter(config-ext-nacl)# deny ip 169.254.0.0 0. anyrouter(config-ext-nacl)# permit ip any anyrouter(config-ext-nacl)# exit

router(config)#int s0/0

router(config-if)#ip access-group ingress-antispoof in網際網路服務**商(isp)必須在其網路中使用這樣的過濾,這一點是在rfc 2267中定義的。注意此acl操作中包含"permit ip any any".在現實世界中,你可能會在路由器中有乙個正式的防火牆,用以保護內部lan.

當然,你可以將此方法用於過濾所有進入本機所在子網的、來自網路內部其它子網的資料報,以確保不在某子網內的任何人不會將欺騙性的資料通訊傳到其它網路。你也可以實施乙個"轉出acl"來防止內部網路從其它網路實施ip位址欺騙。不過,請記住,這僅是你全域性網路安全策略的乙個區域性而已。

使用反向路徑**(ip驗證)

另乙個保護網路免受ip位址欺騙的方法是反向路徑**(rpf),即ip驗證。在思科的ios中,用於反向路徑**(rpf)的命令是以"ip verify"開始的。

rpf在工作起來就象乙個反垃圾郵件解決方案的部分功能一樣,該功能部分收到進入的電子郵件訊息,找到源電子郵件的源位址,然後到傳送伺服器上執行乙個檢查操作,確定傳送者是否真的存在於傳送訊息的伺服器上。如果傳送者不存在,伺服器就丟棄此電子郵件訊息,因為它極有可能是乙個垃圾郵件。

rpf對資料報作出相似的操作。它取出所收到的來自網際網路的某個資料報的源位址,檢視在路由器的路由表中是否存在乙個路由可以應答此資料報。如果路由表中沒有路由來作為返回給源ip位址的資料報的應答,那麼就是有人傳送了欺騙性資料報,路由器就丟棄這個資料報。

下面展示怎樣在路由器中配置反向位址**:

複製**

**如下:

router(config)# ip cef

router(config)# int serial0/0

router(config-if)# ip verify unicast reverse-path

240多萬個IP位址遭受攻擊

自5月12日起,在全球大範圍內爆發的勒索病毒 wannacry 對我國網際網路絡也構成了嚴重安全威脅。網信辦網路安全協調局負責人15日表示,該勒索病毒仍在傳播,但速度已明顯放緩,對廣大使用者而言最有效的應對措施是要安裝安全防護軟體,及時公升級作業系統和各種應用的安全補丁。勒索病毒大規模爆發 12日晚...

PHP獲取IP位址的方法,防止偽造IP位址注入攻擊

原文 php獲取ip位址的方法,防止偽造ip位址注入攻擊 php獲取ip位址的方法 獲取客戶端ip位址 x forwarded for 是 伺服器通過 http headers 提供的客戶端ip。伺服器可以偽造任何ip。要防止偽造,不要讀這個ip即可 同時告訴使用者不要用http param int...

如何檢測網路中的重複IP位址 防止ip位址衝突

重複ip位址可能會給網路管理員帶來很多麻煩。如何檢測出網路中的重複ip位址?如果網路中有路由器,還能檢測到重複ip位址嗎?答案是可以,通過一些方法比如傳送arp資料報到該ip位址,可以檢測出重複ip位址。首先,我們要知道哪些情況會導致程式設計客棧ip位址衝突。一旦網路上的兩台裝置被分配相同的ip位址...