思科IOS防止遭受IP地址欺骗攻击的方法有哪些？_IT百科

思科IOS防止遭受IP地址欺骗攻击的方法有哪些？

IP欺骗技术是伪造主机IP地址的技术。通过IP地址的伪装，一台主机可以伪装成另一台主机，而另一台主机往往拥有一定的权限或者受到另一台主机的信任。在典型的地址欺骗尝试中，攻击者只需伪装源数据包，使其看起来像是在内部网络中。下面就来说说如何使用思科IOS来防止你公司的网络受到攻击。

互联网 *** 作系统(IOS)是思科独有的核心软件包，主要在思科路由器和交换机上实现。特别是，它可用于配置Cisco路由器硬件，将信息从一个网络路由或桥接到另一个网络。可以毫不客气地说，I0S是思科路由器产品的动力源。那么如何使用思科IOS来防止IP欺骗呢？

阻止IP地址

防止IP欺骗的第一步是阻止可能导致风险的IP地址。虽然攻击者可以欺骗任何IP地址，但最常见的欺骗IP地址是私有IP地址(请参考RFC1918)和其他类型的共享/特殊IP地址。

例如，作者阻止以下IP地址(后跟其子网掩码)从Internet访问这台计算机:

·10.0.0.0(255.0.0.0)

·172.16.0.0(255.240.0.0)

·192.168.0.0(255.255.0.0)

·127.0.0.0(255.0.0.0)

·224.0.0.0(224.0.0.0)

·169.254.0.0(255.255.0.0)

上面列出的IP地址是不能在互联网上路由的私有IP地址，或者用于其他目的的IP地址，因此它们不应该出现在互联网上。如果来自互联网的通信以其中一个IP地址为源地址，那一定是欺骗性通信。

除此之外，其他经常被骗的IP地址是贵单位使用的任何内部IP地址。如果您使用所有专用IP地址，您的范围应该属于上面列出的IP地址。但是，如果您使用自己的公共IP地址范围，您应该将其添加到上面的列表中。

实施访问控制列表(ACL)

防止作弊的最简单方法是对所有互联网流量使用入口过滤器。传入筛选器将丢弃源地址如上所列的任何数据包。换句话说，就是创建一个ACL(访问控制列表)来丢弃所有源地址为上述列表中IP地址的数据包。

以下是一个配置示例:

复制代码

代码如下:

路由器#会议t

输入配置命令，每行一个。以CNTL/Z结尾。

路由器(配置)#ip访问列表扩展入口-反垃圾路由器(配置-扩展nacl)#拒绝ip10.0.0.00.255.255.255任意路由器(配置-扩展nacl)#拒绝IP172.16.0.000.15.255.255任意路由器(配置-扩展nacl)#拒绝IP192.168.0.0.0.0.0.0.255.255任意路由器(配置-扩展nacl

路由器(配置)#ints0/0

互联网服务提供商(ISP)中的路由器(config-if)#IP访问组入口反防护必须在其网络中使用这种过滤，这在RFC2267中进行了定义。请注意，此ACL *** 作包含“允许ipanyany"在现实世界中，您的路由器中可能有一个正式的防火墙来保护您的内部局域网。

当然，你可以用这种方法过滤掉所有从网络中其他子网进入计算机所在子网的数据包，从而保证任何不在子网内的人都不会向其他网络传输欺骗性的数据通信。您还可以实施“转出ACL”来防止内部网络实施来自其他网络的IP地址欺骗。但是，请记住，这只是您整体网络安全策略的一部分。

使用反向路径转发(IP验证)

保护网络免受IP地址欺骗的另一种方法是反向路径转发(RPF)，即IP认证。在Cisco的IOS中，反向路径转发(RPF)命令以

RPF就像反垃圾邮件解决方案的一部分功能。此函数接收传入的电子邮件，查找源电子邮件的源地址，然后在发送服务器上执行检查 *** 作，以确定发件人是否确实存在于发送服务器上。如果发件人不存在，服务器将丢弃该电子邮件，因为它很可能是垃圾邮件。

RPF对数据包执行类似的 *** 作。它取出从互联网收到的数据包的源地址，并检查路由器的路由表中是否有可以应答该数据包的路由。如果路由表中没有路由作为对返回到源IP地址的数据包的回复，则有人发送了欺骗性数据包，路由器将丢弃该数据包。

下面显示了如何在路由器中配置反向地址转发:

复制代码

代码如下:

路由器(配置)#ipcef

路由器(配置)#intserial0/0