IP地址欺騙對(duì)策

***者經(jīng)常用來獲取網(wǎng)絡(luò)信息的一種方法是冒充成一個(gè)網(wǎng)絡(luò)中可信的成員。***者欺騙數(shù)據(jù)包中的源IP地址，然后發(fā)往內(nèi)部網(wǎng)絡(luò)。***者只需要將數(shù)據(jù)包中的源IP地址改成一個(gè)屬于內(nèi)部子網(wǎng)的地址即可。

1. 入站

規(guī)則

決不允許任何源地址是內(nèi)部主機(jī)地址或網(wǎng)絡(luò)地址的數(shù)據(jù)包進(jìn)入一個(gè)私有的 網(wǎng)絡(luò)。

RB（config）#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log

RB（config）#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

RB（config）#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

RB（config）#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

RB（config）#access-list 150 deny ip host 255.255.255.255 any log

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

后面log的作用是：當(dāng)數(shù)據(jù)包應(yīng)用該策略被拒絕時(shí)將會(huì)在控制臺(tái)顯示。

這個(gè)訪問控制列表拒絕任何來自以下源地址的數(shù)據(jù)包：

n 任何本地主機(jī)地址（127.0.0.0/8）；

n 任何保留的私有地址；

n 任何組播IP地址（224.0.0.0/4）。

2. 出站

規(guī)則

決不應(yīng)該允許任何含有非內(nèi)部網(wǎng)絡(luò)有效地址的IP數(shù)據(jù)包出站。

RB（config）#access-list 105 permit ip 192.168.0.0 0.0.255.255 any

RB（config）#access-list 105 deny ip any any log

RB（config）#interface Serial 2/0

RB（conofig-if）#ip access-group 105 out

轉(zhuǎn)載于:https://blog.51cto.com/91xueit/1136401

總結(jié)

以上是生活随笔為你收集整理的在路由器使用ACL防止IP地址欺骗的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。