思科路由器 思科路由器如何防止Spoofing Mitigation

cisco思科依靠自身的技术和对网络经济模式的深刻理解,使其成为了网络应用的成功实践者之一,他出产的路由器设备也是世界一流,那么你知道思科路由器如何防止Spoofing Mitigation吗?下面是小编整理的一些关于思科路由器如何防止Spoofing Mitigation的相关资料,供你参考。

思科路由器防止Spoofing Mitigation的知识:

首先我们来了解IP Spoofing技术,IP Spoofing技术是指一种获取对计算机未经许可的访问的技术,即攻击者通过伪 IP 地址向计算机发送信息,并显示该信息来自于真实主机。伪 IP 技术导致的攻击类型有多种,如下所述:

Non-Blind Spoofing ― 当攻击者与其目标(可以“看到”数据包序列和确认)处在同一子网中时,容易发生这种攻击,它将可能导致会话劫机。攻击者可以避开任何认证标准而建立新的连接,其具体实现如下:在本机上,攻击者通过非法行为破坏掉目标对象已建连接的数据流,然后基于正确的序列号和确认号重新建立新的连接。

Blind Spoofing ― 当不能从外部获得序列号和确认号时,容易发生这种攻击。攻击者向目标机器上发送数据包,以对其序列号进行取样,这种方法在过去是可行的,但现在,大多数操作系统采用随机序列号,这就使得攻击者们很难准确预测目标序列号。但一旦序列号被破解,数据就很容易被发送到目标机器上。

Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具体是指:攻击者从中截取两个主机之间的合法通信信息,并在双方不知道的情况下,删除或更改由一方发送给另一方的信息内容。如此,通过伪造原发送方或接收方的身份,攻击者达到其非法访问通信双方保密信息的目的。 Connection Hijacking 为 TCP 通信开发了一种 Desynchronized State,即当接收到的数据包的序列号与所期望的序列号不一致时,这种连接称为 Desynchronized。TCP 层可能删除也可能缓冲数据包,这主要取决于接收到的序列号实际值。当两台主机充分达到 Desynchronized 状态,它们将互相删除/忽略来自对方的数据包。这时,攻击者便趁机导入序列号正确的伪造数据包,其中的通信信息可能作过修改或添加。该过程中,攻击者一直位于主机双方通信路径上,使其可以复制双方发送的数据包。该类攻击关键在于建立 Desynchronized State。

Denial of Service Attack ― 伪 IP 大多数情况下用于拒绝服务攻击(DoS),即攻击者以极大的通信量冲击网络,使得网络可用带宽和资源在较短的时间内消耗殆尽。为达到最有效的攻击效果,攻击者伪造一个源 IP 地址使得他人很难追踪和终止 DoS。当有多个通信失败的主机也加入攻击者行列中,并且群体发送伪通信量时,很难立即阻止这些流量。

需要注意的是,伪 IP 技术不支持匿名 Internet 访问,这常常被人们所误解。超出简单扩散之外的任何一种伪技术相对而言都是很高级的,并用于特定的情形中,如 Evasion、Connection Hijacking。为防止网络中的伪 IP 行为,目前通常采取以下措施:

避免使用源地址认证。采用加密认证系统。

将机器配置为拒绝由局部地址网络发送来的数据包。

在边界路由器上执行进、出过滤,并通过 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。

如果你允许某些可信赖主机的外部连接,要确保路由器处的会话进行加密保护。

还是举个例子给大家说吧

Spoofing Mitigation 欺骗攻击

这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。使服务器不对合法用户服务。

此题按照题意在1.0的网段有欺骗攻击,所以要过滤掉除了源自1.0之外的所有IP数据包.选A

如果说在1.0的网络上发现了伪装成2.0网段的IP欺骗包,那么就选C

了解这些之后,我们来看在怎么cisco路由器用ACL来配置了

先定义ACL的访问规则,检查那些地址段,

IP Address Spoofing Mitigation: Inbound

R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log

R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log

R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

思科路由器 思科路由器如何防止Spoofing Mitigation

R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

R1(config)#access-list 150 deny ip host 255.255.255.255 any log

R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255

//进入接口下调用ACL,然后应用

R1(config)#int e1/0

R1(config-if)#ip access-group 150 in

R1(config-if)#exit

IP Address Spoofing Mitigation: Outbound

R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any

R1(config)#access-list 105 deny ip any any log

R1(config)#int f0/0

R1(config-if)#ip access-group 105 in

R1(config-if)#exit

  

爱华网本文地址 » http://www.aihuau.com/a/216961/642239464.html

更多阅读

tp-link无线路由器如何安装 tplink无线路由器桥接

tp-link无线路由器如何安装——简介下面介绍TP-Link路由器安装方法。这里使用TL-R406型路由器做示范。tp-link无线路由器如何安装——工具/原料TP-Link路由器一台计算机一台网线数根tp-link无线路由器如何安装——方法/步骤tp-l

无线路由器如何安装 咋安装路由器

无线路由器如何安装——简介现在很多人都有不止一台网络设备,那么如何让它们能方便的接入家中的无线网络呢?无线路由器就派上用场了,接下来的问题是:无线路由器怎么设置?下面教大家轻松设置无线路由器,看看一款无线路由器怎么设置,并将实际

腾达路由器如何限制网速 腾达路由器家长控制

腾达路由器如何限制网速——简介腾达路由器如何限制网速 腾达路由器如何限制网速——方法/步骤腾达路由器如何限制网速 1、在电脑上连接腾达路由提供的无线网络,在浏览器中输入:192.168.0.1 按回车键,在跳转的页面中输入密码admin ,确

TP-LINK无线路由器如何设置安装 tp link无线路由器

TP-LINK无线路由器如何设置安装——简介随着家里数码产品的不断增加及WIFI无线网的普及,现在每个家庭都会配备一台无线路由器,由于路由器在初次使用时需要进行相关的设置,对于没有设置过路由器的朋友可能还会有点困难。本文就以TP-LINK

声明:《思科路由器 思科路由器如何防止Spoofing Mitigation》为网友幽香清远分享!如侵犯到您的合法权益请联系我们删除