大家好，今天小悅來為大家解答以上問題。ip欺騙攻擊的防范措施，思科IOS防止遭受IP地址欺騙攻擊的三種辦法很多人還不知道，現(xiàn)在讓我們一起來看看吧！

互聯(lián)網(wǎng)操作系統(tǒng)（IOS）是思科特有的核心軟件數(shù)據(jù)包，主要在思科路由器和交換機(jī)上實(shí)現(xiàn)，特別是可用它配置Cisco路由器硬件，令其將信息從一個(gè)網(wǎng)絡(luò)路由或橋接至另一個(gè)網(wǎng)絡(luò)?？梢院敛豢蜌獾卣f，I0S是思科路由器產(chǎn)品的動(dòng)力之源。那么怎樣利用思科IOS防止IP欺騙呢？

阻止IP地址

防止IP欺騙的第一步就是阻止能造成風(fēng)險(xiǎn)的IP地址。雖然攻擊者可以欺騙任何IP地址，最常被欺騙的IP地址是私有IP地址（請(qǐng)參考RFC1918）和其它類型的共享/特別的IP地址。

例如，筆者就阻止如下的IP地址（后面緊跟著其子網(wǎng)掩碼）從Internet訪問本機(jī)：

·10.0.0.0（255.0.0.0）

·172.16.0.0（255.240.0.0）

·192.168.0.0（255.255.0.0）

·127.0.0.0（255.0.0.0）

·224.0.0.0（224.0.0.0）

·169.254.0.0（255.255.0.0）

以上所列示的是私有的在互聯(lián)網(wǎng)上不可路由的IP地址，抑或是用于其它目的的IP地址，因此不應(yīng)出現(xiàn)在互聯(lián)網(wǎng)上。如果來自互聯(lián)網(wǎng)的通信以其中某個(gè)IP地址為源地址，必定是欺騙性的通信。

此外，其它常被欺騙的IP地址是那些你的組織使用的任何內(nèi)部IP地址。如果你正使用全部的私有IP地址，那你的范圍就應(yīng)該屬于以上所列示的IP地址。然而，如果你正使用自己的公有IP地址范圍，你就應(yīng)該將其加入到以上列表中。

實(shí)施訪問控制列表（ACL）

最簡(jiǎn)單的防止欺騙的方法就是對(duì)所有的互聯(lián)網(wǎng)通信使用一個(gè)進(jìn)入過濾器。進(jìn)入過濾器會(huì)丟棄源地址為以上所列地址的任何數(shù)據(jù)包。換句話說，就是創(chuàng)建一個(gè)ACL（access control list），使之丟棄所有進(jìn)入的網(wǎng)絡(luò)的源地址為上述列表中IP地址的數(shù)據(jù)包。

下面是一個(gè)配置的例子：

復(fù)制代碼

代碼如下:

Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router（config）# ip access-list ext ingress-antispoofRouter（config-ext-nacl）# deny ip 10.0.0.0 0.255.255.255 anyRouter（config-ext-nacl）# deny ip 172.16.0.0 0.15.255.255 anyRouter（config-ext-nacl）# deny ip 192.168.0.0 0.0.255.255 anyRouter（config-ext-nacl）# deny ip 127.0.0.0 0.255.255.255 anyRouter（config-ext-nacl）# deny ip 224.0.0.0 31.255.255.255 anyRouter（config-ext-nacl）# deny ip 169.254.0.0 0.0.255.255 anyRouter（config-ext-nacl）# permit ip any anyRouter（config-ext-nacl）# exit
Router（config）#int s0/0

Router（config-if）#ip access-group ingress-antispoof in互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）必須在其網(wǎng)絡(luò)中使用這樣的過濾，這一點(diǎn)是在RFC 2267中定義的。注意此ACL操作中包含"permit ip any any".在現(xiàn)實(shí)世界中，你可能會(huì)在路由器中有一個(gè)正式的防火墻，用以保護(hù)內(nèi)部LAN.

當(dāng)然，你可以將此方法用于過濾所有進(jìn)入本機(jī)所在子網(wǎng)的、來自網(wǎng)絡(luò)內(nèi)部其它子網(wǎng)的數(shù)據(jù)包，以確保不在某子網(wǎng)內(nèi)的任何人不會(huì)將欺騙性的數(shù)據(jù)通信傳到其它網(wǎng)絡(luò)。你也可以實(shí)施一個(gè)"轉(zhuǎn)出ACL"來防止內(nèi)部網(wǎng)絡(luò)從其它網(wǎng)絡(luò)實(shí)施IP地址欺騙。不過，請(qǐng)記住，這僅是你全局網(wǎng)絡(luò)安全策略的一個(gè)局部而已。

使用反向路徑轉(zhuǎn)發(fā)（IP驗(yàn)證）

另一個(gè)保護(hù)網(wǎng)絡(luò)免受IP地址欺騙的方法是反向路徑轉(zhuǎn)發(fā)（RPF），即IP驗(yàn)證。在思科的IOS中，用于反向路徑轉(zhuǎn)發(fā)（RPF）的命令是以"ip verify"開始的。

RPF在工作起來就象一個(gè)反垃圾郵件解決方案的部分功能一樣，該功能部分收到進(jìn)入的電子郵件消息，找到源電子郵件的源地址，然后到發(fā)送服務(wù)器上執(zhí)行一個(gè)檢查操作，確定發(fā)送者是否真的存在于發(fā)送消息的服務(wù)器上。如果發(fā)送者不存在，服務(wù)器就丟棄此電子郵件消息，因?yàn)樗鼧O有可能是一個(gè)垃圾郵件。

RPF對(duì)數(shù)據(jù)包作出相似的操作。它取出所收到的來自互聯(lián)網(wǎng)的某個(gè)數(shù)據(jù)包的源地址，查看在路由器的路由表中是否存在一個(gè)路由可以應(yīng)答此數(shù)據(jù)包。如果路由表中沒有路由來作為返回給源IP地址的數(shù)據(jù)包的應(yīng)答，那么就是有人發(fā)送了欺騙性數(shù)據(jù)包，路由器就丟棄這個(gè)數(shù)據(jù)包。

下面展示怎樣在路由器中配置反向地址轉(zhuǎn)發(fā)：

復(fù)制代碼

代碼如下:

Router（config）# ip cef
Router（config）# int serial0/0
Router（config-if）# ip verify unicast reverse-path

通過以上的三種方法來保護(hù)私有網(wǎng)絡(luò)免受攻擊者的侵害。謝謝閱讀，希望能幫到大家，請(qǐng)繼續(xù)關(guān)注腳本之家，我們會(huì)努力分享更多優(yōu)秀的文章。

本文到此結(jié)束，希望對(duì)大家有所幫助。

標(biāo)簽： 思科IOS防止遭受IP地址欺騙攻擊的三種辦法