思科路由器如何防止Spoofing Mitigation

　　cisco思科依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解，使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一，他出產(chǎn)的路由器設(shè)備也是世界一流，那么你知道思科路由器如何防止Spoofing Mitigation嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器如何防止Spoofing Mitigation的相關(guān)資料，供你參考。

　　思科路由器防止Spoofing Mitigation的知識：

　　首先我們來了解IP Spoofing技術(shù)，IP Spoofing技術(shù)是指一種獲取對計(jì)算機(jī)未經(jīng)許可的訪問的技術(shù)，即攻擊者通過偽 IP 地址向計(jì)算機(jī)發(fā)送信息，并顯示該信息來自于真實(shí)主機(jī)。偽 IP 技術(shù)導(dǎo)致的攻擊類型有多種，如下所述：

　　Non-Blind Spoofing ― 當(dāng)攻擊者與其目標(biāo)(可以“看到”數(shù)據(jù)包序列和確認(rèn))處在同一子網(wǎng)中時(shí)，容易發(fā)生這種攻擊，它將可能導(dǎo)致會話劫機(jī)。攻擊者可以避開任何認(rèn)證標(biāo)準(zhǔn)而建立新的連接，其具體實(shí)現(xiàn)如下：在本機(jī)上，攻擊者通過非法行為破壞掉目標(biāo)對象已建連接的數(shù)據(jù)流，然后基于正確的序列號和確認(rèn)號重新建立新的連接。

　　Blind Spoofing ― 當(dāng)不能從外部獲得序列號和確認(rèn)號時(shí)，容易發(fā)生這種攻擊。攻擊者向目標(biāo)機(jī)器上發(fā)送數(shù)據(jù)包，以對其序列號進(jìn)行取樣，這種方法在過去是可行的，但現(xiàn)在，大多數(shù)操作系統(tǒng)采用隨機(jī)序列號，這就使得攻擊者們很難準(zhǔn)確預(yù)測目標(biāo)序列號。但一旦序列號被破解，數(shù)據(jù)就很容易被發(fā)送到目標(biāo)機(jī)器上。

　　Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具體是指：攻擊者從中截取兩個主機(jī)之間的合法通信信息，并在雙方不知道的情況下，刪除或更改由一方發(fā)送給另一方的信息內(nèi)容。如此，通過偽造原發(fā)送方或接收方的身份，攻擊者達(dá)到其非法訪問通信雙方保密信息的目的。 Connection Hijacking 為 TCP 通信開發(fā)了一種 Desynchronized State，即當(dāng)接收到的數(shù)據(jù)包的序列號與所期望的序列號不一致時(shí)，這種連接稱為 Desynchronized。TCP 層可能刪除也可能緩沖數(shù)據(jù)包，這主要取決于接收到的序列號實(shí)際值。當(dāng)兩臺主機(jī)充分達(dá)到 Desynchronized 狀態(tài)，它們將互相刪除/忽略來自對方的數(shù)據(jù)包。這時(shí)，攻擊者便趁機(jī)導(dǎo)入序列號正確的偽造數(shù)據(jù)包，其中的通信信息可能作過修改或添加。該過程中，攻擊者一直位于主機(jī)雙方通信路徑上，使其可以復(fù)制雙方發(fā)送的數(shù)據(jù)包。該類攻擊關(guān)鍵在于建立 Desynchronized State。

　　Denial of Service Attack ― 偽 IP 大多數(shù)情況下用于拒絕服務(wù)攻擊(DoS)，即攻擊者以極大的通信量沖擊網(wǎng)絡(luò)，使得網(wǎng)絡(luò)可用帶寬和資源在較短的時(shí)間內(nèi)消耗殆盡。為達(dá)到最有效的攻擊效果，攻擊者偽造一個源 IP 地址使得他人很難追蹤和終止 DoS。當(dāng)有多個通信失敗的主機(jī)也加入攻擊者行列中，并且群體發(fā)送偽通信量時(shí)，很難立即阻止這些流量。

　　需要注意的是，偽 IP 技術(shù)不支持匿名 Internet 訪問，這常常被人們所誤解。超出簡單擴(kuò)散之外的任何一種偽技術(shù)相對而言都是很高級的，并用于特定的情形中，如 Evasion、Connection Hijacking。為防止網(wǎng)絡(luò)中的偽 IP 行為，目前通常采取以下措施：

　　避免使用源地址認(rèn)證。采用加密認(rèn)證系統(tǒng)。

　　將機(jī)器配置為拒絕由局部地址網(wǎng)絡(luò)發(fā)送來的數(shù)據(jù)包。

　　在邊界路由器上執(zhí)行進(jìn)、出過濾，并通過 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。

　　如果你允許某些可信賴主機(jī)的外部連接，要確保路由器處的會話進(jìn)行加密保護(hù)。

　　還是舉個例子給大家說吧

　　Spoofing Mitigation 欺騙攻擊

　　這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶(1.1.1.1)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1.1.1.1，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從1.1.1.1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。使服務(wù)器不對合法用戶服務(wù)。

　　此題按照題意在1.0的網(wǎng)段有欺騙攻擊,所以要過濾掉除了源自1.0之外的所有IP數(shù)據(jù)包.選A

　　如果說在1.0的網(wǎng)絡(luò)上發(fā)現(xiàn)了偽裝成2.0網(wǎng)段的IP欺騙包,那么就選C

　　了解這些之后，我們來看在怎么cisco路由器用ACL來配置了

　　先定義ACL的訪問規(guī)則，檢查那些地址段，

　　IP Address Spoofing Mitigation: Inbound

　　R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log

　　R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log

　　R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

　　R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

　　R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

　　R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

　　R1(config)#access-list 150 deny ip host 255.255.255.255 any log

　　R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255

　　//進(jìn)入接口下調(diào)用ACL，然后應(yīng)用

　　R1(config)#int e1/0

　　R1(config-if)#ip access-group 150 in

　　R1(config-if)#exit

　　IP Address Spoofing Mitigation: Outbound

　　R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any

　　R1(config)#access-list 105 deny ip any any log

　　R1(config)#int f0/0

　　R1(config-if)#ip access-group 105 in

　　R1(config-if)#exit