思科路由器如何防止Spoofing Mitigation

　　cisco思科依靠自身的技術和對網絡經濟模式的深刻理解，使其成為了網絡應用的成功實踐者之一，他出產的路由器設備也是世界一流，那么你知道思科路由器如何防止Spoofing Mitigation嗎?下面是學習啦小編整理的一些關于思科路由器如何防止Spoofing Mitigation的相關資料，供你參考。

　　思科路由器防止Spoofing Mitigation的知識：

　　首先我們來了解IP Spoofing技術，IP Spoofing技術是指一種獲取對計算機未經許可的訪問的技術，即攻擊者通過偽 IP 地址向計算機發送信息，并顯示該信息來自于真實主機。偽 IP 技術導致的攻擊類型有多種，如下所述：

　　Non-Blind Spoofing ― 當攻擊者與其目標(可以“看到”數據包序列和確認)處在同一子網中時，容易發生這種攻擊，它將可能導致會話劫機。攻擊者可以避開任何認證標準而建立新的連接，其具體實現如下：在本機上，攻擊者通過非法行為破壞掉目標對象已建連接的數據流，然后基于正確的序列號和確認號重新建立新的連接。

　　Blind Spoofing ― 當不能從外部獲得序列號和確認號時，容易發生這種攻擊。攻擊者向目標機器上發送數據包，以對其序列號進行取樣，這種方法在過去是可行的，但現在，大多數操作系統采用隨機序列號，這就使得攻擊者們很難準確預測目標序列號。但一旦序列號被破解，數據就很容易被發送到目標機器上。

　　Man In the Middle Attack ― 它又叫作 Connection Hijacking。其具體是指：攻擊者從中截取兩個主機之間的合法通信信息，并在雙方不知道的情況下，刪除或更改由一方發送給另一方的信息內容。如此，通過偽造原發送方或接收方的身份，攻擊者達到其非法訪問通信雙方保密信息的目的。 Connection Hijacking 為 TCP 通信開發了一種 Desynchronized State，即當接收到的數據包的序列號與所期望的序列號不一致時，這種連接稱為 Desynchronized。TCP 層可能刪除也可能緩沖數據包，這主要取決于接收到的序列號實際值。當兩臺主機充分達到 Desynchronized 狀態，它們將互相刪除/忽略來自對方的數據包。這時，攻擊者便趁機導入序列號正確的偽造數據包，其中的通信信息可能作過修改或添加。該過程中，攻擊者一直位于主機雙方通信路徑上，使其可以復制雙方發送的數據包。該類攻擊關鍵在于建立 Desynchronized State。

　　Denial of Service Attack ― 偽 IP 大多數情況下用于拒絕服務攻擊(DoS)，即攻擊者以極大的通信量沖擊網絡，使得網絡可用帶寬和資源在較短的時間內消耗殆盡。為達到最有效的攻擊效果，攻擊者偽造一個源 IP 地址使得他人很難追蹤和終止 DoS。當有多個通信失敗的主機也加入攻擊者行列中，并且群體發送偽通信量時，很難立即阻止這些流量。

　　需要注意的是，偽 IP 技術不支持匿名 Internet 訪問，這常常被人們所誤解。超出簡單擴散之外的任何一種偽技術相對而言都是很高級的，并用于特定的情形中，如 Evasion、Connection Hijacking。為防止網絡中的偽 IP 行為，目前通常采取以下措施：

　　避免使用源地址認證。采用加密認證系統。

　　將機器配置為拒絕由局部地址網絡發送來的數據包。

　　在邊界路由器上執行進、出過濾，并通過 ACL(Access Control List)以阻止下游接口上的私人 IP 地址。

　　如果你允許某些可信賴主機的外部連接，要確保路由器處的會話進行加密保護。

　　還是舉個例子給大家說吧

　　Spoofing Mitigation 欺騙攻擊

　　這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從1.1.1.1發送的連接有錯誤，就會清空緩沖區中建立好的連接。使服務器不對合法用戶服務。

　　此題按照題意在1.0的網段有欺騙攻擊,所以要過濾掉除了源自1.0之外的所有IP數據包.選A

　　如果說在1.0的網絡上發現了偽裝成2.0網段的IP欺騙包,那么就選C

　　了解這些之后，我們來看在怎么cisco路由器用ACL來配置了

　　先定義ACL的訪問規則，檢查那些地址段，

　　IP Address Spoofing Mitigation: Inbound

　　R1(config)#access-list 150 deny ip 10.2.1.0 0.0.0.255 any log

　　R1(config)#access-list 150 deny ip 0.0.0.0 0.255.255.255 any log

　　R1(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

　　R1(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

　　R1(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

　　R1(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

　　R1(config)#access-list 150 deny ip host 255.255.255.255 any log

　　R1(config)#access-list 150 deny ip any 10.2.1.0 0.0.0.255

　　//進入接口下調用ACL，然后應用

　　R1(config)#int e1/0

　　R1(config-if)#ip access-group 150 in

　　R1(config-if)#exit

　　IP Address Spoofing Mitigation: Outbound

　　R1(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any

　　R1(config)#access-list 105 deny ip any any log

　　R1(config)#int f0/0

　　R1(config-if)#ip access-group 105 in

　　R1(config-if)#exit