用思科IOS防止遭受IP地址欺騙攻擊
本文主要向大家介紹了IP欺騙技術,同時向給大家講解了如何利用思科IOS進行防止IP欺騙,包括阻止IP地址,反向路徑轉發等方面,相信看過此文會對你有所幫助。
互聯網充滿著各種安全威脅,其中之一就是IP地址欺騙。IP欺騙技術就是偽造某臺主機的IP地址的技術。通過IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機,而這臺主機往往具有某種特權或者被另外的主機所信任。互聯網操作系統(IOS)是思科特有的核心軟件數據包,主要在思科路由器和交換機上實現,特別是可用它配置Cisco路由器硬件,令其將信息從一個網絡路由或橋接至另一個網絡。可以毫不客氣地說,I0S是思科路由器產品的動力之源。那么怎樣利用思科IOS防止IP欺騙呢?
阻止IP地址
防止IP欺騙的第一步就是阻止能造成風險的IP地址。雖然攻擊者可以欺騙任何IP地址,最常被欺騙的IP地址是私有IP地址(請參考RFC1918)和其它類型的共享/特別的IP地址。
例如,筆者就阻止如下的IP地址(后面緊跟著其子網掩碼)從Internet訪問本機:
·10.0.0.0(255.0.0.0)
·172.16.0.0(255.240.0.0)
·192.168.0.0(255.255.0.0)
·127.0.0.0(255.0.0.0)
·224.0.0.0(224.0.0.0)
·169.254.0.0(255.255.0.0)
以上所列示的是私有的在互聯網上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不應出現在互聯網上。如果來自互聯網的通信以其中某個IP地址為源地址,必定是欺騙性的通信。
此外,其它常被欺騙的IP地址是那些你的組織使用的任何內部IP地址。如果你正使用全部的私有IP地址,那你的范圍就應該屬于以上所列示的IP地址。然而,如果你正使用自己的公有IP地址范圍,你就應該將其加入到以上列表中。
實施訪問控制列表(ACL)
最簡單的防止欺騙的方法就是對所有的互聯網通信使用一個進入過濾器。進入過濾器會丟棄源地址為以上所列地址的任何數據包。換句話說,就是創建一個ACL(access control list),使之丟棄所有進入的網絡的源地址為上述列表中IP地址的數據包。
下面是一個配置的例子:
- Router# conf t
- Enter configuration commands, one per line. End with CNTL/Z.
- Router(config)# ip access-list ext ingress-antispoof
- Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
- Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any
- Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any
- Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
- Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
- Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any
- Router(config-ext-nacl)# permit ip any any
- Router(config-ext-nacl)# exit
- Router(config)#int s0/0
- Router(config-if)#ip access-group ingress-antispoof in
互聯網服務供應商(ISP)必須在其網絡中使用這樣的過濾,這一點是在RFC 2267中定義的。注意此ACL操作中包含“permit ip any any”。在現實世界中,你可能會在路由器中有一個正式的防火墻,用以保護內部LAN。 當然,你可以將此方法用于過濾所有進入本機所在子網的、來自網絡內部其它子網的數據包,以確保不在某子網內的任何人不會將欺騙性的數據通信傳到其它網絡。你也可以實施一個“轉出ACL”來防止內部網絡從其它網絡實施IP地址欺騙。不過,請記住,這僅是你全局網絡安全策略的一個局部而已。
使用反向路徑轉發(IP驗證)
另一個保護網絡免受IP地址欺騙的方法是反向路徑轉發(RPF),即IP驗證。在思科的IOS中,用于反向路徑轉發(RPF)的命令是以“ip verify”開始的。
RPF在工作起來就象一個反垃圾郵件解決方案的部分功能一樣,該功能部分收到進入的電子郵件消息,找到源電子郵件的源地址,然后到發送服務器上執行一個檢查操作,確定發送者是否真的存在于發送消息的服務器上。如果發送者不存在,服務器就丟棄此電子郵件消息,因為它極有可能是一個垃圾郵件。
RPF對數據包作出相似的操作。它取出所收到的來自互聯網的某個數據包的源地址,查看在路由器的路由表中是否存在一個路由可以應答此數據包。如果路由表中沒有路由來作為返回給源IP地址的數據包的應答,那么就是有人發送了欺騙性數據包,路由器就丟棄這個數據包。
下面展示怎樣在路由器中配置反向地址轉發:
- Router(config)# ip cef
- Router(config)# int serial0/0
- Router(config-if)# ip verify unicast reverse-path
保護私有網絡免受攻擊者的侵害是極端重要的。我們在這里介紹的三個方法將對你保護網絡免受IP地址欺騙起到重要的作用。
【編輯推薦】
