|
|
|
|
|
|
|
|
.0 0.255.255.255 any 拒绝Loopback的数据包
ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包
除了访问列表的限制外,还可以利用路由器的RPF检查(ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判断是不是到达这个源地址的路由是不是也经过这个接口转发,如果不是则抛弃。这进一步保证了数据源的正确性。但是这种方式不适合非对称的路由,即A到B的路由与B到A的路由不相同。所以需要判断清楚路由器的具体配置。
2.控制直接广播
一个IP直接广播是一个目的地为某个子网的广播地址的数据包,但是这个发送主机的不与这个目的子网直接相连。所以这个数据包被路由器当作普通包转发直到目的子网,然后被转换为链路层广播。由于Ip地址结构的特性,只有直接连接到这个子网的路由器能够识别一个直接广播包。针对这个功能,目前存在一种攻击称为"smurf",攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应,最终导致目的网络的广播风暴。
对于这种攻击可以在路由器的接口上设置no ip directed
页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第8页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
