思科路由器如何防止Spoofing Mitigation
cisco思科依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,他出產(chǎn)的路由器設(shè)備也是世界一流,那么你知道思科路由器如何防止Spoofing Mitigation嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器如何防止Spoofing Mitigation的相關(guān)資料,供你參考。
思科路由器防止Spoofing Mitigation的知識(shí):
首先我們來了解IP Spoofing技術(shù),IP Spoofing技術(shù)是指一種獲取對計(jì)算機(jī)未經(jīng)許可的訪問的技術(shù),即攻擊者通過偽 IP 地址向計(jì)算機(jī)發(fā)送信息,并顯示該信息來自于真實(shí)主機(jī)。偽 IP 技術(shù)導(dǎo)致的攻擊類型有多種,如下所述:
Non-Blind Spoofing ― 當(dāng)攻擊者與其目標(biāo)(可以“看到”數(shù)據(jù)包序列和確認(rèn))處在同一子網(wǎng)中時(shí),容易發(fā)生這種攻擊,它將可能導(dǎo)致會(huì)話劫機(jī)。攻擊者可以避開任何認(rèn)證標(biāo)準(zhǔn)而建立新的連接,其具體實(shí)現(xiàn)如下:在本機(jī)上,攻擊者通過非法行為破壞掉目標(biāo)對象已建連接的數(shù)據(jù)流,然后基于正確的序列號和確認(rèn)號重新建立新的連接。
Blind Spoofing ― 當(dāng)不能從外部獲得序列號和確認(rèn)號時(shí),容易發(fā)生這種攻擊。攻擊者向目標(biāo)機(jī)器上發(fā)送數(shù)據(jù)包,以對其序列號進(jìn)行取樣,這種方法在過去是可行的,但現(xiàn)在,大多數(shù)操作系統(tǒng)采用隨機(jī)序列號,這就使得攻擊者們很難準(zhǔn)確預(yù)測目標(biāo)序列號。但一旦序列號被破解,數(shù)據(jù)就很容易被發(fā)送到目標(biāo)機(jī)器上。
Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具體是指:攻擊者從中截取兩個(gè)主機(jī)之間的合法通信信息,并在雙方不知道的情況下,刪除或更改由一方發(fā)送給另一方的信息內(nèi)容。如此,通過偽造原發(fā)送方或接收方的身份,攻擊者達(dá)到其非法訪問通信雙方保密信息的目的。 Connection Hijacking 為 TCP 通信開發(fā)了一種 Desynchronized State,即當(dāng)接收到的數(shù)據(jù)包的序列號與所期望的序列號不一致時(shí),這種連接稱為 Desynchronized。TCP 層可能刪除也可能緩沖數(shù)據(jù)包,這主要取決于接收到的序列號實(shí)際值。當(dāng)兩臺(tái)主機(jī)充分達(dá)到 Desynchronized 狀態(tài),它們將互相刪除/忽略來自對方的數(shù)據(jù)包。這時(shí),攻擊者便趁機(jī)導(dǎo)入序列號正確的偽造數(shù)據(jù)包,其中的通信信息可能作過修改或添加。該過程中,攻擊者一直位于主機(jī)雙方通信路徑上,使其可以復(fù)制雙方發(fā)送的數(shù)據(jù)包。該類攻擊關(guān)鍵在于建立 Desynchronized State。
Denial of Service Attack ― 偽 IP 大多數(shù)情況下用于拒絕服務(wù)攻擊(DoS),即攻擊者以極大的通信量沖擊網(wǎng)絡(luò),使得網(wǎng)絡(luò)可用帶寬和資源在較短的時(shí)間內(nèi)消耗殆盡。為達(dá)到最有效的攻擊效果,攻擊者偽造一個(gè)源 IP 地址使得他人很難追蹤和終止 DoS。當(dāng)有多個(gè)通信失敗的主機(jī)也加入攻擊者行列中,并且群體發(fā)送偽通信量時(shí),很難立即阻止這些流量。
需要注意的是,偽 IP 技術(shù)不支持匿名 Internet 訪問,這常常被人們所誤解。超出簡單擴(kuò)散之外的任何一種偽技術(shù)相對而言都是很高級的,并用于特定的情形中,如 Evasion、Connection Hijacking。為防止網(wǎng)絡(luò)中的偽 IP 行為,目前通常采取以下措施:
避免使用源地址認(rèn)證。采用加密認(rèn)證系統(tǒng)。
將機(jī)器配置為拒絕由局部地址網(wǎng)絡(luò)發(fā)送來的數(shù)據(jù)包。
在邊界路由器上執(zhí)行進(jìn)、出過濾,并通過 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。
如果你允許某些可信賴主機(jī)的外部連接,要確保路由器處的會(huì)話進(jìn)行加密保護(hù)。
還是舉個(gè)例子給大家說吧
Spoofing Mitigation 欺騙攻擊
這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(1.1.1.1)已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為1.1.1.1,并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從1.1.1.1發(fā)送的連接有錯(cuò)誤,就會(huì)清空緩沖區(qū)中建立好的連接。使服務(wù)器不對合法用戶服務(wù)。
此題按照題意在1.0的網(wǎng)段有欺騙攻擊,所以要過濾掉除了源自1.0之外的所有IP數(shù)據(jù)包.選A
如果說在1.0的網(wǎng)絡(luò)上發(fā)現(xiàn)了偽裝成2.0網(wǎng)段的IP欺騙包,那么就選C
了解這些之后,我們來看在怎么cisco路由器用ACL來配置了
先定義ACL的訪問規(guī)則,檢查那些地址段,
IP Address Spoofing Mitigation: Inbound
R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log
R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log
R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log
R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
R1(config)#access-list 150 deny ip host 255.255.255.255 any log
R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255
//進(jìn)入接口下調(diào)用ACL,然后應(yīng)用
R1(config)#int e1/0
R1(config-if)#ip access-group 150 in
R1(config-if)#exit
IP Address Spoofing Mitigation: Outbound
R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any
R1(config)#access-list 105 deny ip any any log
R1(config)#int f0/0
R1(config-if)#ip access-group 105 in
R1(config-if)#exit