解决无线路由IP地址欺骗问题的两种方法
在典型的无线路由IP地址欺骗中,攻击者通常伪造数据包的发送地址,使其看起来像是来自内部网络。下面,我们教您一些方法,使IP地址欺骗不容易得逞。1。使用访问控制列表(ACL)
通过创建访问控制列表,可以删除来自上述范围的IP地址的所有入站数据。下面是一个配置示例:
路由器# conf t
输入配置命令,每行一个。结束与控制键/ Z.
Router(config)IP访问列表扩展入口antispoof #
路由器(config EXT NaCl)否认任何# 10.0.0.0 0.255.255.255 IP
路由器(config EXT NaCl)否认IP 172.16.0.0 0.15.255.255任何#
路由器(config EXT NaCl)否认IP 192.168.0.0 0.0.255.255任何#
路由器(config EXT NaCl)否认IP 127.0.0.0 0.255.255.255任何#
路由器(config EXT NaCl)否认IP 224.0.0.0 31.255.255.255任何#
路由器(config EXT NaCl)否认IP 169.254.0.0 0.0.255.255任何#
路由器(config EXT NaCl)允许任何IP地址通过#
路由器(config EXT NaCl)#退出
路由器(config)# int s0 / 0
Router(config-if)# IP访问组antispoof在入口
防止IP欺骗的最简单的方法是使用一个传入的过滤器来过滤所有的互联网数据,过滤将丢弃掉在上面的无线路由IP地址的所有包。
两。防止IP地址
防止可能造成风险的IP地址是防止IP欺诈的前提。攻击者可以伪造任何IP地址。最经常复制的IP地址是私有网络IP地址和其他类型的共享/特殊IP地址。
下面列出了无线路由IP地址及其子网掩码,防止它们从Internet进入我的网络:
10.0.0.0 / 8
172.16.0.0 / 12
192.168.0.0 / 16
127.0.0.0 / 8
224.0.0.0 / 3
169.254.0.0 / 16
上述所有地址或地址的无线专用网IP路由都是在互联网上路由,或者用于其他用途,不应该上网IP地址,从互联网输入数据来源的IP地址,毫无疑问,肯定是谎言。
一些经常被模仿的IP地址是企业使用的任何内部网IP地址。如果您使用的是一组公共网络IP地址,您应该将它们添加到上述列表中。如果使用所有私有网络IP地址,则要阻止的地址范围将落入列表中。