IP地址欺骗对策

攻击者经常用来获取网络信息的一种方法是冒充成一个网络中可信的成员。攻击者欺骗数据包中的源IP地址，然后发往内部网络。攻击者只需要将数据包中的源IP地址改成一个属于内部子网的地址即可。

1. 入站

规则	决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的 网络。

RB（config）#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log

RB（config）#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

RB（config）#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

RB（config）#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

RB（config）#access-list 150 deny ip host 255.255.255.255 any log

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

后面log的作用是：当数据包应用该策略被拒绝时将会在控制台显示。

这个访问控制列表拒绝任何来自以下源地址的数据包：

n 任何本地主机地址（127.0.0.0/8）；

n 任何保留的私有地址；

n 任何组播IP地址（224.0.0.0/4）。

2. 出站

规则	决不应该允许任何含有非内部网络有效地址的IP数据包出站。

RB（config）#access-list 105 permit ip 192.168.0.0 0.0.255.255 any

RB（config）#access-list 105 deny ip any any log

RB（config）#interface Serial 2/0

RB（conofig-if）#ip access-group 105 out

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1136401，如需转载请自行联系原作者