51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

用思科IOS防止遭受IP地址欺骗攻击

网络 路由交换
在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利用思科IOS防止网络遭到这种攻击。

本文主要向大家介绍了IP欺骗技术,同时向给大家讲解了如何利用思科IOS进行防止IP欺骗,包括阻止IP地址,反向路径转发等方面,相信看过此文会对你有所帮助。

互联网充满着各种安全威胁,其中之一就是IP地址欺骗。IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?

阻止IP地址

防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。
例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
以上所列示的是私有的在互联网上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不应出现在互联网上。如果来自互联网的通信以其中某个IP地址为源地址,必定是欺骗性的通信。

此外,其它常被欺骗的IP地址是那些你的组织使用的任何内部IP地址。如果你正使用全部的私有IP地址,那你的范围就应该属于以上所列示的IP地址。然而,如果你正使用自己的公有IP地址范围,你就应该将其加入到以上列表中。
实施访问控制列表(ACL)

最简单的防止欺骗的方法就是对所有的互联网通信使用一个进入过滤器。进入过滤器会丢弃源地址为以上所列地址的任何数据包。换句话说,就是创建一个ACL(access control list),使之丢弃所有进入的网络的源地址为上述列表中IP地址的数据包。
下面是一个配置的例子: 

  1. Router# conf t  
  2. Enter configuration commands, one per line.  End with CNTL/Z.  
  3. Router(config)# ip access-list ext ingress-antispoof  
  4. Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any  
  5. Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any  
  6. Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any  
  7. Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any  
  8. Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any  
  9. Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any  
  10. Router(config-ext-nacl)# permit ip any any  
  11. Router(config-ext-nacl)# exit  
  12. Router(config)#int s0/0  
  13. Router(config-if)#ip access-group ingress-antispoof in  


 互联网服务供应商(ISP)必须在其网络中使用这样的过滤,这一点是在RFC 2267中定义的。注意此ACL操作中包含“permit ip any any”。在现实世界中,你可能会在路由器中有一个正式的防火墙,用以保护内部LAN。 当然,你可以将此方法用于过滤所有进入本机所在子网的、来自网络内部其它子网的数据包,以确保不在某子网内的任何人不会将欺骗性的数据通信传到其它网络。你也可以实施一个“转出ACL”来防止内部网络从其它网络实施IP地址欺骗。不过,请记住,这仅是你全局网络安全策略的一个局部而已。

使用反向路径转发(IP验证)
另一个保护网络免受IP地址欺骗的方法是反向路径转发(RPF),即IP验证。在思科的IOS中,用于反向路径转发(RPF)的命令是以“ip verify”开始的。

RPF在工作起来就象一个反垃圾邮件解决方案的部分功能一样,该功能部分收到进入的电子邮件消息,找到源电子邮件的源地址,然后到发送服务器上执行一个检查操作,确定发送者是否真的存在于发送消息的服务器上。如果发送者不存在,服务器就丢弃此电子邮件消息,因为它极有可能是一个垃圾邮件。

RPF对数据包作出相似的操作。它取出所收到的来自互联网的某个数据包的源地址,查看在路由器的路由表中是否存在一个路由可以应答此数据包。如果路由表中没有路由来作为返回给源IP地址的数据包的应答,那么就是有人发送了欺骗性数据包,路由器就丢弃这个数据包。
下面展示怎样在路由器中配置反向地址转发:

  1. Router(config)# ip cef  
  2. Router(config)# int serial0/0  
  3. Router(config-if)# ip verify unicast reverse-path  
  4.  
  5.  
  6.  

保护私有网络免受攻击者的侵害是极端重要的。我们在这里介绍的三个方法将对你保护网络免受IP地址欺骗起到重要的作用。
 

【编辑推荐】

  1. 华为路由器与CISCO路由器在配置上的差别
  2. 华为路由器简单配置详解
  3. 理解华为路由器配置命令中清除列表规则
  4. 应用视点:看华为路由器接入的实际应用
  5. 应用视点:华为路由器网守配合技巧

 

责任编辑:chenqingxiang 来源: CSDN
思科路由器IOS防止地址攻击
相关推荐
思科设置技巧之严防IP地址欺骗攻击
本文主要向大家介绍了IP欺骗技术,同时向给大家讲解了如何利用思科IOS进行防止IP欺骗,包括阻止IP地址,反向路径转发等方面,相信看过此文会对你有所帮助。

2010-08-13 10:31:06

电子邮件、网站和IP欺骗:如何防止欺骗攻击
本文介绍了三种欺骗攻击:IP欺骗、电子邮件伪造和网站欺骗,并介绍了防范这些攻击的方法。

2010-08-06 10:38:59

安全指南:如何防止欺骗攻击
欺骗攻击是指将诈骗者伪装成可获取重要数据或信息的可信任来源时发生的网络攻击。

2021-01-16 10:39:11

欺骗攻击网络犯罪网络安全
Linux Arp命令绑定IP和MAC地址防止ARP欺骗
ARP危害极大,有的病毒就使用ARP欺骗,不仅影响自身机器,同时也会影响同网段的其它机器,将其它机器的HTTP数据包里加入病毒代码。

2010-06-21 17:51:53

Linux Arp命令
防止VOIP语音网关遭受网络攻击
近来,各种针对VoIP语音网关设备的攻击频繁出现,给客户带来不少困扰和经济损失。

2013-04-01 09:28:23

讲述理解Ubuntu SSH系统防止DNS欺骗IP欺骗
UbuntuSSH是指SecureShell,UbuntuSSH协议族由IETF(InternetEngineeringTaskForce)的NetworkWorkingGroup制定,UbuntuSSH协议的内容UbuntuSSH协议是建立在应用层和传输层基础上的安全协议。

2009-12-31 15:36:52

Gitee遭受DDoS攻击,官方建议不要在hosts里绑定IP地址
3月2日,国内代码托管平台Gitee发布消息称,近期遭受疯狂的DDoS攻击。由于部署了高防产品,具备一定的防御DDoS攻击能力,对于大多数用户并没有收到影响。

2020-03-04 08:59:44

DDoS攻击网络攻击网络安全
如何防止IP Fragment攻击
当链路层的上层协议,比如IP协议所要传输的IP数据包(包括IPHeader)大小超过这个长度范围时,IP数据包就必须分成多片传输,这个过程就是分片(Fragmentating),其中分割出来的每一个片断就是一个Fragment。

2010-09-25 14:34:09

无线路由ip地址解决“欺骗
众所周知,互联网上到处都是安全风险,其中之一便是无线路由IP地址欺骗。在典型的IP地址欺骗中,攻击者通常伪造数据包的发送地址。

2009-12-17 09:42:11

其实,防止网络遭受APT攻击也可以很简单
目前最常见的攻击方式之一就是域名系统(DNS)攻击。DNS被广泛使用、高度信任但又很容易受攻击。特别是现在一些高级持续性攻击(APT)变得越来越流行,它们能够深入渗透到网络深处,并且能产生比前几代恶意软件更大的危害。一旦APT成功渗透一个网络,它们就会使用DNS服务器连接回远程命令与控制中心,然后下载一些破坏网络运营或偷取数据的指令。

2015-08-27 09:30:38

如何防ARP欺骗IP冲突攻击
在局域网中经常会有攻击者发起恶意攻击。一般攻击者会使用“网络执法官、网络剪刀手、网络特工、P2P终结者”这类的软件,发送数据包改变ARP缓存中的网关IP对应的MAC地址,导致找不到真正的网关而不能连接Internet。

2010-01-11 10:46:31

实现IP地址欺骗应注意的问题
IP地址对于网络用户来说就相当于网络用户的门牌号码,而所谓的IP地址欺骗就是攻击者假冒他人IP地址,发送数据包。因为IP协议不对数据包中的IP地址进行认证,因此任何人不经授权就可以伪造IP包的源地址。

2010-09-07 11:00:42

使用Cisco IOS阻止外向IP欺骗
本文向大家介绍了如何保护系统免受来自其他方向的威胁——阻止欺骗性IP数据包,以及其他有害通讯从本地的网络发往Internet。

2011-07-19 09:19:40

企业防止遭受网络攻击的十个基本步骤
企业需要制定系统审计计划,以使其免受各种病毒的侵害,并详细了解员工必须遵守的规章制度,以确保业务安全。

2022-02-09 14:50:26

病毒安全策略网络攻击
如何使用 ubuntu iptables 防止IP攻击
当大家在用ubuntu时,我们常常会受到各种IP攻击,我们应该怎么办?方法很简单,其实用ubuntu下的iptables工具,一切问题就OK了,来看看具体的操作!

2011-03-16 10:29:17

伪装攻击 IP地址的洪水Ping攻击详解
本文主要向大家介绍了IP地址的洪水Ping攻击的过程,希望大家通过以下内容可以获得帮助。

2011-03-17 10:04:29

Swissport遭受BlackCat勒索攻击
BleepingComputer了解到,自2021年11月以来,该勒索软件团伙以来自美国、澳大利亚和印度等多个国家的多名受害者为目标。

2022-02-16 14:38:52

勒索软件攻击
善用思科IOS配置锁 防止路由配置错乱
本文主要给大家介绍了对于思科IOS配置锁,我们应该如何进行路由器配置,从而防止配置错乱,相信看过此文会对你有所帮助。

2010-08-20 12:06:43

配置锁功能
疫情时刻,网络安全也非常重要,IPSG特性,一分钟了解下
随着网络规模越来越大,基于源IP的攻击也逐渐增多。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。

2020-02-07 12:38:44

IPSGIP网络安全
数百万的思科ASA防火墙将有可能遭受黑客攻击
ExodusIntelligence的安全研究专家DavidBarksdale,JordanGruskovnjak以及AlexWheeler发现,思科的ASA防火墙设备中存在一个严重的缓冲区溢出漏洞(CVE20161287),CVSS(通用漏洞评分系统)给此漏洞的评级为10分。

2016-02-15 13:30:30

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服