亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>路由器>路由器設(shè)置>cisco思科>

      思科路由器如何防止Spoofing Mitigation

      時(shí)間: 權(quán)威724 分享

        cisco思科依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,他出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道思科路由器如何防止Spoofing Mitigation嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器如何防止Spoofing Mitigation的相關(guān)資料,供你參考。

        思科路由器防止Spoofing Mitigation的知識(shí):

        首先我們來了解IP Spoofing技術(shù),IP Spoofing技術(shù)是指一種獲取對計(jì)算機(jī)未經(jīng)許可的訪問的技術(shù),即攻擊者通過偽 IP 地址向計(jì)算機(jī)發(fā)送信息,并顯示該信息來自于真實(shí)主機(jī)。偽 IP 技術(shù)導(dǎo)致的攻擊類型有多種,如下所述:

        Non-Blind Spoofing ― 當(dāng)攻擊者與其目標(biāo)(可以“看到”數(shù)據(jù)包序列和確認(rèn))處在同一子網(wǎng)中時(shí),容易發(fā)生這種攻擊,它將可能導(dǎo)致會(huì)話劫機(jī)。攻擊者可以避開任何認(rèn)證標(biāo)準(zhǔn)而建立新的連接,其具體實(shí)現(xiàn)如下:在本機(jī)上,攻擊者通過非法行為破壞掉目標(biāo)對象已建連接的數(shù)據(jù)流,然后基于正確的序列號和確認(rèn)號重新建立新的連接。

        Blind Spoofing ― 當(dāng)不能從外部獲得序列號和確認(rèn)號時(shí),容易發(fā)生這種攻擊。攻擊者向目標(biāo)機(jī)器上發(fā)送數(shù)據(jù)包,以對其序列號進(jìn)行取樣,這種方法在過去是可行的,但現(xiàn)在,大多數(shù)操作系統(tǒng)采用隨機(jī)序列號,這就使得攻擊者們很難準(zhǔn)確預(yù)測目標(biāo)序列號。但一旦序列號被破解,數(shù)據(jù)就很容易被發(fā)送到目標(biāo)機(jī)器上。

        Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具體是指:攻擊者從中截取兩個(gè)主機(jī)之間的合法通信信息,并在雙方不知道的情況下,刪除或更改由一方發(fā)送給另一方的信息內(nèi)容。如此,通過偽造原發(fā)送方或接收方的身份,攻擊者達(dá)到其非法訪問通信雙方保密信息的目的。 Connection Hijacking 為 TCP 通信開發(fā)了一種 Desynchronized State,即當(dāng)接收到的數(shù)據(jù)包的序列號與所期望的序列號不一致時(shí),這種連接稱為 Desynchronized。TCP 層可能刪除也可能緩沖數(shù)據(jù)包,這主要取決于接收到的序列號實(shí)際值。當(dāng)兩臺(tái)主機(jī)充分達(dá)到 Desynchronized 狀態(tài),它們將互相刪除/忽略來自對方的數(shù)據(jù)包。這時(shí),攻擊者便趁機(jī)導(dǎo)入序列號正確的偽造數(shù)據(jù)包,其中的通信信息可能作過修改或添加。該過程中,攻擊者一直位于主機(jī)雙方通信路徑上,使其可以復(fù)制雙方發(fā)送的數(shù)據(jù)包。該類攻擊關(guān)鍵在于建立 Desynchronized State。

        Denial of Service Attack ― 偽 IP 大多數(shù)情況下用于拒絕服務(wù)攻擊(DoS),即攻擊者以極大的通信量沖擊網(wǎng)絡(luò),使得網(wǎng)絡(luò)可用帶寬和資源在較短的時(shí)間內(nèi)消耗殆盡。為達(dá)到最有效的攻擊效果,攻擊者偽造一個(gè)源 IP 地址使得他人很難追蹤和終止 DoS。當(dāng)有多個(gè)通信失敗的主機(jī)也加入攻擊者行列中,并且群體發(fā)送偽通信量時(shí),很難立即阻止這些流量。

        需要注意的是,偽 IP 技術(shù)不支持匿名 Internet 訪問,這常常被人們所誤解。超出簡單擴(kuò)散之外的任何一種偽技術(shù)相對而言都是很高級的,并用于特定的情形中,如 Evasion、Connection Hijacking。為防止網(wǎng)絡(luò)中的偽 IP 行為,目前通常采取以下措施

        避免使用源地址認(rèn)證。采用加密認(rèn)證系統(tǒng)。

        將機(jī)器配置為拒絕由局部地址網(wǎng)絡(luò)發(fā)送來的數(shù)據(jù)包。

        在邊界路由器上執(zhí)行進(jìn)、出過濾,并通過 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。

        如果你允許某些可信賴主機(jī)的外部連接,要確保路由器處的會(huì)話進(jìn)行加密保護(hù)。

        還是舉個(gè)例子給大家說吧

        Spoofing Mitigation 欺騙攻擊

        這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(1.1.1.1)已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為1.1.1.1,并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從1.1.1.1發(fā)送的連接有錯(cuò)誤,就會(huì)清空緩沖區(qū)中建立好的連接。使服務(wù)器不對合法用戶服務(wù)。

        此題按照題意在1.0的網(wǎng)段有欺騙攻擊,所以要過濾掉除了源自1.0之外的所有IP數(shù)據(jù)包.選A

        如果說在1.0的網(wǎng)絡(luò)上發(fā)現(xiàn)了偽裝成2.0網(wǎng)段的IP欺騙包,那么就選C

        了解這些之后,我們來看在怎么cisco路由器用ACL來配置了

        先定義ACL的訪問規(guī)則,檢查那些地址段,

        IP Address Spoofing Mitigation: Inbound

        R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log

        R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log

        R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

        R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

        R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

        R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

        R1(config)#access-list 150 deny ip host 255.255.255.255 any log

        R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255

        //進(jìn)入接口下調(diào)用ACL,然后應(yīng)用

        R1(config)#int e1/0

        R1(config-if)#ip access-group 150 in

        R1(config-if)#exit

        IP Address Spoofing Mitigation: Outbound

        R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any

        R1(config)#access-list 105 deny ip any any log

        R1(config)#int f0/0

        R1(config-if)#ip access-group 105 in

        R1(config-if)#exit

      569572