IP位址欺騙對策
攻擊者經常用來擷取網絡資訊的一種方法是冒充成一個網絡中可信的成員。攻擊者欺騙資料包中的源IP位址,然後發往内部網絡。攻擊者隻需要将資料包中的源IP位址改成一個屬于内部子網的位址即可。
1. 入站
<b></b>
規則
決不允許任何源位址是内部主機位址或網絡位址的資料包進入一個私有的 網絡。
RB(config)#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log
RB(config)#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log
RB(config)#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log
RB(config)#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log
RB(config)#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log
RB(config)#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log
RB(config)#access-list 150 deny ip host 255.255.255.255 any log
RB(config)#access-list 150 permit ip any any
RB(config)#interface Serial 2/0
RB(config-if)#ip access-group 150 in
後面log的作用是:當資料包應用該政策被拒絕時将會在控制台顯示。
這個通路控制清單拒絕任何來自以下源位址的資料包:
n 任何本地主機位址(127.0.0.0/8);
n 任何保留的私有位址;
n 任何多點傳播IP位址(224.0.0.0/4)。
2. 出站
決不應該允許任何含有非内部網絡有效位址的IP資料包出站。
RB(config)#access-list 105 permit ip 192.168.0.0 0.0.255.255 any
RB(config)#access-list 105 deny ip any any log
RB(conofig-if)#ip access-group 105 out
本文轉自 onesthan 51CTO部落格,原文連結:http://blog.51cto.com/91xueit/1136401,如需轉載請自行聯系原作者
![「技術人生」:什麼是技術一号位?技術一号位系列文章介紹前言如何識别自己是不是技術一号位分析你所在環境的局勢找準自己的定位,明确自己的定位的含義應該有什麼樣的工作原則和要求履行技術一号位的職責具體需要感覺哪些事情及其要點如何成長為技術一号位[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)