IP地址欺騙對策

***者經常用來獲取網絡信息的一種方法是冒充成一個網絡中可信的成員。***者欺騙數據包中的源IP地址，然后發往內部網絡。***者只需要將數據包中的源IP地址改成一個屬于內部子網的地址即可。

1. 入站

規則	決不允許任何源地址是內部主機地址或網絡地址的數據包進入一個私有的 網絡。

RB（config）#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log

RB（config）#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

RB（config）#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

RB（config）#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

RB（config）#access-list 150 deny ip host 255.255.255.255 any log

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

后面log的作用是：當數據包應用該策略被拒絕時將會在控制臺顯示。

這個訪問控制列表拒絕任何來自以下源地址的數據包：

n 任何本地主機地址（127.0.0.0/8）；

n 任何保留的私有地址；

n 任何組播IP地址（224.0.0.0/4）。

2. 出站

規則	決不應該允許任何含有非內部網絡有效地址的IP數據包出站。

RB（config）#access-list 105 permit ip 192.168.0.0 0.0.255.255 any

RB（config）#access-list 105 deny ip any any log

RB（config）#interface Serial 2/0

RB（conofig-if）#ip access-group 105 out

轉載于:https://blog.51cto.com/91xueit/1136401

總結

以上是生活随笔為你收集整理的在路由器使用ACL防止IP地址欺骗的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。