本文主要向大家介紹了IP欺騙技術(shù)����,同時(shí)向給大家講解了如何利用思科IOS進(jìn)行防止IP欺騙,包括阻止IP地址�,反向路徑轉(zhuǎn)發(fā)等方面�,相信看過(guò)此文會(huì)對(duì)你有所幫助。
互聯(lián)網(wǎng)充滿著各種安全威脅,其中之一就是IP地址欺騙���。IP欺騙技術(shù)就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)��。通過(guò)IP地址的偽裝使得某臺(tái)主機(jī)能夠偽裝另外的一臺(tái)主機(jī)����,而這臺(tái)主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任����;ヂ(lián)網(wǎng)操作系統(tǒng)(IOS)是思科特有的核心軟件數(shù)據(jù)包,主要在思科路由器和交換機(jī)上實(shí)現(xiàn)���,特別是可用它配置Cisco路由器硬件�����,令其將信息從一個(gè)網(wǎng)絡(luò)路由或橋接至另一個(gè)網(wǎng)絡(luò)�������?梢院敛豢蜌獾卣f(shuō)��,I0S是思科路由器產(chǎn)品的動(dòng)力之源���。那么怎樣利用思科IOS防止IP欺騙呢?
阻止IP地址
防止IP欺騙的第一步就是阻止能造成風(fēng)險(xiǎn)的IP地址���。雖然攻擊者可以欺騙任何IP地址,最常被欺騙的IP地址是私有IP地址(請(qǐng)參考RFC1918)和其它類型的共享/特別的IP地址��。
例如�,筆者就阻止如下的IP地址(后面緊跟著其子網(wǎng)掩碼)從Internet訪問(wèn)本機(jī):
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
以上所列示的是私有的在互聯(lián)網(wǎng)上不可路由的IP地址,抑或是用于其它目的的IP地址�,因此不應(yīng)出現(xiàn)在互聯(lián)網(wǎng)上。如果來(lái)自互聯(lián)網(wǎng)的通信以其中某個(gè)IP地址為源地址�����,必定是欺騙性的通信�。
此外,其它常被欺騙的IP地址是那些你的組織使用的任何內(nèi)部IP地址��。如果你正使用全部的私有IP地址��,那你的范圍就應(yīng)該屬于以上所列示的IP地址��。然而���,如果你正使用自己的公有IP地址范圍����,你就應(yīng)該將其加入到以上列表中���。
實(shí)施訪問(wèn)控制列表(ACL)
最簡(jiǎn)單的防止欺騙的方法就是對(duì)所有的互聯(lián)網(wǎng)通信使用一個(gè)進(jìn)入過(guò)濾器��。進(jìn)入過(guò)濾器會(huì)丟棄源地址為以上所列地址的任何數(shù)據(jù)包�。換句話說(shuō)�����,就是創(chuàng)建一個(gè)ACL(access control list)��,使之丟棄所有進(jìn)入的網(wǎng)絡(luò)的源地址為上述列表中IP地址的數(shù)據(jù)包����。
下面是一個(gè)配置的例子:
1.Router# conf t
2.Enter configuration commands, one per line. End with CNTL/Z.
3.Router(config)# ip access-list ext ingress-antispoof
4.Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
5.Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any
6.Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any
7.Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
8.Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
9.Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any
10.Router(config-ext-nacl)# permit ip any any
11.Router(config-ext-nacl)# exit
12.Router(config)#int s0/0
13.Router(config-if)#ip access-group ingress-antispoof in
互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)必須在其網(wǎng)絡(luò)中使用這樣的過(guò)濾,這一點(diǎn)是在RFC 2267中定義的��。注意此ACL操作中包含“permit ip any any”����。在現(xiàn)實(shí)世界中,你可能會(huì)在路由器中有一個(gè)正式的防火墻��,用以保護(hù)內(nèi)部LAN。 當(dāng)然����,你可以將此方法用于過(guò)濾所有進(jìn)入本機(jī)所在子網(wǎng)的、來(lái)自網(wǎng)絡(luò)內(nèi)部其它子網(wǎng)的數(shù)據(jù)包��,以確保不在某子網(wǎng)內(nèi)的任何人不會(huì)將欺騙性的數(shù)據(jù)通信傳到其它網(wǎng)絡(luò)��。你也可以實(shí)施一個(gè)“轉(zhuǎn)出ACL”來(lái)防止內(nèi)部網(wǎng)絡(luò)從其它網(wǎng)絡(luò)實(shí)施IP地址欺騙�。不過(guò),請(qǐng)記住����,這僅是你全局網(wǎng)絡(luò)安全策略的一個(gè)局部而已。
使用反向路徑轉(zhuǎn)發(fā)(IP驗(yàn)證)
另一個(gè)保護(hù)網(wǎng)絡(luò)免受IP地址欺騙的方法是反向路徑轉(zhuǎn)發(fā)(RPF)�,即IP驗(yàn)證。在思科的IOS中��,用于反向路徑轉(zhuǎn)發(fā)(RPF)的命令是以“ip verify”開(kāi)始的�����。
RPF在工作起來(lái)就象一個(gè)反垃圾郵件解決方案的部分功能一樣����,該功能部分收到進(jìn)入的電子郵件消息����,找到源電子郵件的源地址���,然后到發(fā)送服務(wù)器上執(zhí)行一個(gè)檢查操作,確定發(fā)送者是否真的存在于發(fā)送消息的服務(wù)器上�����。如果發(fā)送者不存在����,服務(wù)器就丟棄此電子郵件消息,因?yàn)樗鼧O有可能是一個(gè)垃圾郵件����。
RPF對(duì)數(shù)據(jù)包作出相似的操作。它取出所收到的來(lái)自互聯(lián)網(wǎng)的某個(gè)數(shù)據(jù)包的源地址�,查看在路由器的路由表中是否存在一個(gè)路由可以應(yīng)答此數(shù)據(jù)包。如果路由表中沒(méi)有路由來(lái)作為返回給源IP地址的數(shù)據(jù)包的應(yīng)答��,那么就是有人發(fā)送了欺騙性數(shù)據(jù)包�,路由器就丟棄這個(gè)數(shù)據(jù)包。
下面展示怎樣在路由器中配置反向地址轉(zhuǎn)發(fā):
1.Router(config)# ip cef
2.Router(config)# int serial0/0
3.Router(config-if)# ip verify unicast reverse-path
保護(hù)私有網(wǎng)絡(luò)免受攻擊者的侵害是極端重要的���。我們?cè)谶@里介紹的三個(gè)方法將對(duì)你保護(hù)網(wǎng)絡(luò)免受IP地址欺騙起到重要的作用�。
相關(guān)推薦:
2010年11月計(jì)算機(jī)軟件水平考試備考寶典匯總 2010年軟件水平考試網(wǎng)絡(luò)工程師綜合模擬題匯總
