思科IOS防止遭受IP地址欺騙攻擊的三種辦法

　　IP欺騙技術就是偽造某臺主機的IP 地址的技術。通過IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機，而這臺主機往往具有某種特權或者被另外的主機所信任。在一次典型的地址欺騙嘗試中，攻擊者只是簡單地偽裝源數(shù)據(jù)包使其看起來是內自于內部網(wǎng)絡。下面學習啦小編就為大家介紹一下怎樣利用思科IOS防止你公司的網(wǎng)絡遭到這種攻擊，歡迎大家參考和學習。

　　互聯(lián)網(wǎng)操作系統(tǒng)(IOS)是思科特有的核心軟件數(shù)據(jù)包，主要在思科路由器和交換機上實現(xiàn)，特別是可用它配置Cisco路由器硬件，令其將信息從一個網(wǎng)絡路由或橋接至另一個網(wǎng)絡。可以毫不客氣地說，I0S是思科路由器產(chǎn)品的動力之源。那么怎樣利用思科IOS防止IP欺騙呢?

　　阻止IP地址

　　防止IP欺騙的第一步就是阻止能造成風險的IP地址。雖然攻擊者可以欺騙任何IP地址，最常被欺騙的IP地址是私有IP地址(請參考RFC1918)和其它類型的共享/特別的IP地址。

　　例如，筆者就阻止如下的IP地址(后面緊跟著其子網(wǎng)掩碼)從Internet訪問本機：

　　·10.0.0.0(255.0.0.0)

　　·172.16.0.0(255.240.0.0)

　　·192.168.0.0(255.255.0.0)

　　·127.0.0.0(255.0.0.0)

　　·224.0.0.0(224.0.0.0)

　　·169.254.0.0(255.255.0.0)

　　以上所列示的是私有的在互聯(lián)網(wǎng)上不可路由的IP地址，抑或是用于其它目的的IP地址，因此不應出現(xiàn)在互聯(lián)網(wǎng)上。如果來自互聯(lián)網(wǎng)的通信以其中某個IP地址為源地址，必定是欺騙性的通信。

　　此外，其它常被欺騙的IP地址是那些你的組織使用的任何內部IP地址。如果你正使用全部的私有IP地址，那你的范圍就應該屬于以上所列示的IP地址。然而，如果你正使用自己的公有IP地址范圍，你就應該將其加入到以上列表中。

　　實施訪問控制列表(ACL)

　　最簡單的防止欺騙的方法就是對所有的互聯(lián)網(wǎng)通信使用一個進入過濾器。進入過濾器會丟棄源地址為以上所列地址的任何數(shù)據(jù)包。換句話說，就是創(chuàng)建一個ACL(access control list)，使之丟棄所有進入的網(wǎng)絡的源地址為上述列表中IP地址的數(shù)據(jù)包。

　　下面是一個配置的例子：

　　復制代碼代碼如下:

　　Router# conf t

　　Enter configuration commands, one per line. End with CNTL/Z.

　　Router(config)# ip access-list ext ingress-antispoofRouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyRouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyRouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyRouter(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 anyRouter(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)# exit

　　Router(config)#int s0/0

　　Router(config-if)#ip access-group ingress-antispoof in互聯(lián)網(wǎng)服務供應商(ISP)必須在其網(wǎng)絡中使用這樣的過濾，這一點是在RFC 2267中定義的。注意此ACL操作中包含"permit ip any any".在現(xiàn)實世界中，你可能會在路由器中有一個正式的防火墻，用以保護內部LAN.

　　當然，你可以將此方法用于過濾所有進入本機所在子網(wǎng)的、來自網(wǎng)絡內部其它子網(wǎng)的數(shù)據(jù)包，以確保不在某子網(wǎng)內的任何人不會將欺騙性的數(shù)據(jù)通信傳到其它網(wǎng)絡。你也可以實施一個"轉出ACL"來防止內部網(wǎng)絡從其它網(wǎng)絡實施IP地址欺騙。不過，請記住，這僅是你全局網(wǎng)絡安全策略的一個局部而已。

　　使用反向路徑轉發(fā)(IP驗證)

　　另一個保護網(wǎng)絡免受IP地址欺騙的方法是反向路徑轉發(fā)(RPF)，即IP驗證。在思科的IOS中，用于反向路徑轉發(fā)(RPF)的命令是以"ip verify"開始的。

　　RPF在工作起來就象一個反垃圾郵件解決方案的部分功能一樣，該功能部分收到進入的電子郵件消息，找到源電子郵件的源地址，然后到發(fā)送服務器上執(zhí)行一個檢查操作，確定發(fā)送者是否真的存在于發(fā)送消息的服務器上。如果發(fā)送者不存在，服務器就丟棄此電子郵件消息，因為它極有可能是一個垃圾郵件。

　　RPF對數(shù)據(jù)包作出相似的操作。它取出所收到的來自互聯(lián)網(wǎng)的某個數(shù)據(jù)包的源地址，查看在路由器的路由表中是否存在一個路由可以應答此數(shù)據(jù)包。如果路由表中沒有路由來作為返回給源IP地址的數(shù)據(jù)包的應答，那么就是有人發(fā)送了欺騙性數(shù)據(jù)包，路由器就丟棄這個數(shù)據(jù)包。

　　下面展示怎樣在路由器中配置反向地址轉發(fā)：

　　復制代碼代碼如下:

　　Router(config)# ip cef

　　Router(config)# int serial0/0

　　Router(config-if)# ip verify unicast reverse-path

　　通過以上的三種方法來保護私有網(wǎng)絡免受攻擊者的侵害，希望能幫到大家。