利用思科IOS防止遭受IP地址欺骗攻击

最新推荐文章于 2021-07-14 11:23:09 发布
最新推荐文章于 2021-07-14 11:23:09 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络 文章标签: 思科 ios 路由器 网络 互联网 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WAST/article/details/1680449
版权
本文介绍了如何利用思科互联网操作系统(IOS)防止IP地址欺骗,包括阻止特定IP地址、实施访问控制列表(ACL)和使用反向路径转发(RPF)。通过设置进入过滤器、验证IP和RPF,可以有效防御网络遭受IP欺骗攻击。
摘要由CSDN通过智能技术生成

  互联网充满着各种安全威胁,其中之一就是IP地址欺骗。IP欺骗技术就是伪造某台主机的IP 地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利用思科IOS防止你公司的网络遭到这种攻击。

  互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?

  阻止IP地址

  防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。

  例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:

  ·10.0.0.0(255.0.0.0)

  ·172.16.0.0(255.240.0.0)

  ·192.168.0.0(255.255.0.0)

  ·127.0.0.0(255.0.0.0)

  ·224.0.0.0(224.0.0.0)

  ·169.254.0.0(255.255.0.0)

  以上所列示的是私有的在互联网上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不应出现在互联网上。如果来自互联网的通信以其中某个IP地址为源地址,必定是欺骗性的通信。

  此外,其它常被欺骗的IP地址是那些你的组织使用的任何内部IP地址。如果你正使用全部的私有IP地址,那你的范围就应该属于以上所列示的IP地址。然而,如果你正使用自己的公有

最低0.47元/天 解锁文章
WAST
关注
专栏目录
Cisco交换机上防范ARP欺骗和二层攻击
iteye_16035的博客
02-19 2155
Cisco交换机上防范ARP欺骗和二层攻击 人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直...
禁止静态IP地址上网
weixin_34200628的博客
04-16 1716
禁止静态IP地址上网,避免局域网IP地址冲突。客户端由DHCP地址池分配地址,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络,在接入交换机作如下配置: 1.使能DHCP Snooping功能,并将连接DHCP Server的GE0/0/47-48接口配置为信任接口。[Switch] dhcp enable[Switch] dhcp snooping enable[Switc...
CISCO 防止ARP
weixin_34252686的博客
08-25 872
创建时间:2010-01-01 文章属性:转载 文章来源:不详 文章提交:Mohe 作者:不详 因为经常看到论坛里面有看到求助ARP病毒防范办法,其实ARP欺骗原理简单,利用的是ARP协议的一个“缺陷”,免费ARP来达到欺骗主机上面的网关的arp表项的。 其实免费ARP当时设计出来是为了2个作用的: 1,IP地址冲突检测 2,ARP条目自动更新,更新网关。...
ARP网关欺骗原理及解决办法
小米的修行之路
06-24 1万+
一.什么是ARP协议? ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标主机的MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标...
思科为计算机配置ip命令,Cisco常用配置IP配置,静态、默认、浮动路由配置,网关等简单配置...
weixin_33515785的博客
07-14 5898
很多朋友对于思科配置命令不是很熟悉,尤其是一些常用到的指令,作为一名合格网管,以下命令是必须懂得配置的,详见:怎么给路由器配置IP?router(config)#interface fastethernet 0/1router(config-if)#ip address 192.168.1.100 255.255.255.0router(config-if)#no shutdown怎么给交换机配置...
思科IOS防止遭受IP地址欺骗攻击的三种办法
10-01
IP欺骗技术就是伪造某台主机的IP 地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任,那么怎样利用思科IOS防止IP欺骗呢?
如何利用路由器防止DoS疯狂攻击
weixin_45054866的博客
05-15 1382
拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不 能进行正常访问,从而导致宕机或网络瘫痪。 DoS攻击主要分为Smurf、SYN Flood和Fraggle三种,在Smurf攻击中,攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似,使用UDP ech...
Cisco路由安全配置--其他.docx
09-26
7. **IP 欺骗防护**:通过访问控制列表 (ACL) 过滤特定的 IP 地址范围,如私有地址、回环地址、测试地址等,可以防止 IP 欺骗攻击。例如,以下 ACL 规则禁止了上述描述中的特定 IP 地址段访问网络: ```cisco ...
TCP拦截和网络地址转换
12-21
(2) 发送报文到内部主机,并欺骗IP地址,这样内部主机就会相信来自可信主机的报文 在T C P连接请求到达目标主机之前,.. T C P拦截通过对其进行拦截和验证来阻止这种攻击。 这个特征可以在两种模式上工作:拦截和...
ios中验证IP地址有效的两种方法
sandy_kisa的专栏
09-06 5136
http://www.mkyong.com/regular-expressions/how-to-validate-ip-address-with-regular-expression/(java正则式) http://stackoverflow.com/questions/5154545/iphone-sdk-how-to-check-if-ip-entered-by-user-is-va
RFC1918私有网络地址分配
热门推荐
ugly_girl的博客
06-24 2万+
RFC 1918私有网络地址分配 (Address Allocation for Private Internets) RFC 1918介绍在本文档中,企业表示一个自治地操作一个使用TCP/IP协议网络的实体,特别地,该实体要决定该网络的寻址方案和地址分配。该文档描述了私有网络的地址分配。该分配允许一个企业内的所有主机之间以及不同企业内的所有公开主机之间在网络所有层次上的连接。 RFC 1918动...
网络攻击:半连接攻击(SYN攻击)、全连接攻击、RST攻击IP欺骗、DNS欺骗、DOS/DDOS攻击
kanguolaikanguolaik的专栏
09-17 1万+
一、半连接攻击 二、全连接攻击 三、RST欺骗 四、IP欺骗       行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。 五、DNS欺骗 5.1 定义       攻击者冒充域名服务器的一种欺骗行为。 5.2 原理       如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网只能看到攻击者的主页
DDoS攻击IP欺骗
wuxiaobingandbob的专栏
05-29 4532
DDoS攻击:     通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 这种攻击方式可分为以下几种:     通过使网络过载来干扰甚至阻断正常的网络通讯;     通过向服务器提交大量请求,使服务器超负荷;     阻断某一用户访问服务器;     阻断某服务与特定系统或个人的通讯。  IP Spoofing: IP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗
通过IP欺骗进行攻击的原理和预防
10-28 1328
  原文:首发于黑客防线2003年11期WriteBy: LionD8email: LionD8@126.comWesite:   http://liond8.126.com 通过IP欺骗进行攻击的原理和预防 本文的目的在于向读者解释IP 欺骗的实现方法和预防措施。它要求您掌握有关Unix 和TCP/IP 的少量知识。如果您没有,也没有关系,相信下面的说明能给您以足够的
IP欺骗攻击的防御
田成荣
06-11 6018
1、防范基本的IP欺骗大多数路由器的内置的欺骗过滤器。过滤器的最基本形式是,不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。从网络内部发出的到本网另一台主机的数据包从不需要流到本网络之外去。因此,如果一个来自外网的数据包,声称来源于本网络内部,就可以非常肯定它是假冒的数据包,应该丢弃。这种类型的过滤叫做入口过滤,他保护单位的网络不成为欺骗攻击的受害者。另一种过滤类型是出口过滤,用于
黑客通过IP欺骗进行攻击的原理及预防
|独自望海。。。
09-29 3760
本文的目的在于向读者解释IP 欺骗的实现方法和预防措施。它要求您掌握有关Uni x 和TCP/IP 的少量知识。如果您没有,也没有关系,相信下面的说明能给您以足够的背景知识。   IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它由若干部分组成。目前,在In ternet领域中,它成为黑客攻击时采用的一种重要手段,因此有必要充分了解它的工作原理和防范措施,以充分保护自己的合法权益。 
思科CCNA第四学期第七章答案
Just do it !
04-25 5861
1   请参见图示。FTP 服务器拥有一个 RFC 1918 私有地址。Internet 上的用户需要连接到 R1 Fa0/0 端口所连 LAN 中的 FTP 服务器。 必须在 R1 上完成哪三项配置?(选择三项。) 动态 NAT NAT 过载 开放端口 20 开放端口 21
Cisco IOS 15配置手册:IP应用服务指南
“Cisco IOS 15配置指南 - IP部分” 本指南是Cisco IOS 15针对IP配置的官方文档,适用于网络管理员和IT专业人士,旨在帮助他们理解和配置Cisco路由器及交换机上的IP服务。Cisco IOS是Cisco网络设备的操作系统,而IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值