使用ACL在cisco路由器,防止Spoofing Mitigation
本文主要給大家詳細的介紹了對于使用ACL在cisco路由器,防止Spoofing Mitigation,并且給出了詳細的操作步驟和命令行,相信看過此文會對你有所幫助。
IP Spoofing技術是指一種獲取對計算機未經許可的訪問的技術,即攻擊者通過偽 IP 地址向計算機發送信息,并顯示該信息來自于真實主機。偽 IP 技術導致的攻擊類型有多種,如下所述:
Non-Blind Spoofing ― 當攻擊者與其目標(可以“看到”數據包序列和確認)處在同一子網中時,容易發生這種攻擊,它將可能導致會話劫機。攻擊者可以避開任何認證標準而建立新的連接,其具體實現如下:在本機上,攻擊者通過非法行為破壞掉目標對象已建連接的數據流,然后基于正確的序列號和確認號重新建立新的連接。
Blind Spoofing ― 當不能從外部獲得序列號和確認號時,容易發生這種攻擊。攻擊者向目標機器上發送數據包,以對其序列號進行取樣,這種方法在過去是可行的,但現在,大多數操作系統采用隨機序列號,這就使得攻擊者們很難準確預測目標序列號。但一旦序列號被破解,數據就很容易被發送到目標機器上。
Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具體是指:攻擊者從中截取兩個主機之間的合法通信信息,并在雙方不知道的情況下,刪除或更改由一方發送給另一方的信息內容。如此,通過偽造原發送方或接收方的身份,攻擊者達到其非法訪問通信雙方保密信息的目的。 Connection Hijacking 為 TCP 通信開發了一種 Desynchronized State,即當接收到的數據包的序列號與所期望的序列號不一致時,這種連接稱為 Desynchronized。TCP 層可能刪除也可能緩沖數據包,這主要取決于接收到的序列號實際值。當兩臺主機充分達到 Desynchronized 狀態,它們將互相刪除/忽略來自對方的數據包。這時,攻擊者便趁機導入序列號正確的偽造數據包,其中的通信信息可能作過修改或添加。該過程中,攻擊者一直位于主機雙方通信路徑上,使其可以復制雙方發送的數據包。該類攻擊關鍵在于建立 Desynchronized State。
Denial of Service Attack ― 偽 IP 大多數情況下用于拒絕服務攻擊(DoS),即攻擊者以極大的通信量沖擊網絡,使得網絡可用帶寬和資源在較短的時間內消耗殆盡。為達到最有效的攻擊效果,攻擊者偽造一個源 IP 地址使得他人很難追蹤和終止 DoS。當有多個通信失敗的主機也加入攻擊者行列中,并且群體發送偽通信量時,很難立即阻止這些流量。
需要注意的是,偽 IP 技術不支持匿名 Internet 訪問,這常常被人們所誤解。超出簡單擴散之外的任何一種偽技術相對而言都是很高級的,并用于特定的情形中,如 Evasion、Connection Hijacking。為防止網絡中的偽 IP 行為,目前通常采取以下措施:
避免使用源地址認證。采用加密認證系統。
將機器配置為拒絕由局部地址網絡發送來的數據包。
在邊界路由器上執行進、出過濾,并通過 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。
如果你允許某些可信賴主機的外部連接,要確保路由器處的會話進行加密保護。
還是舉個例子給大家說吧
Spoofing Mitigation 欺騙攻擊
這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為1.1.1.1,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后,認為從1.1.1.1發送的連接有錯誤,就會清空緩沖區中建立好的連接。使服務器不對合法用戶服務。
此題按照題意在1.0的網段有欺騙攻擊,所以要過濾掉除了源自1.0之外的所有IP數據包.選A
如果說在1.0的網絡上發現了偽裝成2.0網段的IP欺騙包,那么就選C
了解這些之后,我們來看在怎么cisco路由器用ACL來配置了
先定義ACL的訪問規則,檢查那些地址段,
IP Address Spoofing Mitigation: Inbound
R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log
R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log
R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log
R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
R1(config)#access-list 150 deny ip host 255.255.255.255 any log
R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255
//進入接口下調用ACL,然后應用
R1(config)#int e1/0
R1(config-if)#ip access-group 150 in
R1(config-if)#exit
IP Address Spoofing Mitigation: Outbound
R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any
R1(config)#access-list 105 deny ip any any log
R1(config)#int f0/0
R1(config-if)#ip access-group 105 in
R1(config-if)#exit
