007bug
2
安全集成(專業級)SP/PL
CICSA
007bug2
安全集成(專業級)SP/PL
CICSA
IP欺騙攻擊的防范措施如下:
通過對包的監控來檢查IP欺騙:可用netlog或類似的包監控工具來檢查外接口上包的情況,如發現包的兩個地址(源地址和目的地址)都是本地域地址,就意味有人試圖攻擊系統。
安裝一個過濾路由器來限制對外部接口的訪問:禁止帶有內部網資源地址包的通過。當然,也應禁止(過濾)帶有不同的內部資源地址內部包通過路由器到別的網上去,這就防止了內部的用戶對別的站點進行IP欺騙。
將Web服務器放在防火墻外:將Web服務器放在防火墻外面有時更安全。如果路由器有支持內部子網的兩個接口,則容易發生IP欺騙。
在局部網絡的對外路由器上加一個限制條件:不允許聲稱來自內部網絡包的通過,也能防止IP欺騙。
防范源路由欺騙:保護自己或者單位免受源路由欺騙攻擊的最好方法是通過IPsource-route命令設置路由器禁止使用源路由。事實上人們很少使用源路由做合法的事情,因而阻塞這種類型的流量進入或者離開網絡通常不會影響正常額業務。
防范信任關系欺騙:保護自己免受信任關系欺騙攻擊最容易的方法就是不使用信任關系,但這并不是最佳的解決方案。不過可以通過做一些事情使信任關系的縣露達到最小。首先,限制擁有信任關系的人員。相比控制建立信任關系的機器數量,決定誰真正需要信任關系更加有意義。
推薦文章
