怎么防止IP欺骗?
在典型的IP地址欺骗中,攻击者通常伪造数据包的发送地址,以便自己看起来像是来自内网。
这里我们会告诉你可以采取的3个办法,让攻击者的日子不那么好过,使IP地址欺骗也无法轻易得逞。
众所周知,互联网上到处都是安全风险,其中之一便是IP地址欺骗。
在典型的IP地址欺骗中,攻击者通常伪造数据包的发送地址,以便自己看起来像是来自内网。
下面让我们讨论3种保护企业不受此种攻击的方法。
阻止IP地址防止IP期骗得第一招是阻止可能造成风险的IP地址。
不管背后原因是什么,攻击者可以假冒任何IP地址,最常被仿冒的IP地址是私网IP地址和其它类型的共享特殊IP地址。
这里是一些我会阻止其从互联网进入我的网络的IP地址以及它们的子网掩码的列表 ◆10.0.0.08 ◆172.16.0.012 ◆192.168.0.016 ◆127.0.0.08 ◆224.0.0.03 ◆169.254.0.016 所有上面这些地址都要么是在互联网上不可路由的私网IP地址,要么是用作其它用途而根本不应该在互联网上的IP地址。
如果从互联网上进入的数据标有这些IP源地址,那么毫无疑问肯定是骗人的。
此外,其它一些经常被仿冒的IP地址是你的企业所使用的任意内网IP地址。
如果你全部使用私网IP地址,那么你要阻止的地址范围就已经落入上述列表之中,然而,如果你使用的是一组公网IP地址,那么你应把它们也加入到以上列表中。
采用访问控制列表(ACLS) 阻止IP欺骗的最简单方法是对所有互联网数据使用进站过滤。
过滤将扔掉所有落入以上IP地址的数据包。
换言之,通过创建一张访问控制列表,可以剔除所有来自上述范围内的IP地址的入站数据。
这里是一个配置的示例: Route# conf t Ente configuation commands, one pe line. End with CNTLZ. Route(config)# ip access-list ext ingess-antispoof Route(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any Route(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any Route(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any Route(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any Route(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any Route(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any Route(config-ext-nacl)# pemit ip any any Route(config-ext-nacl)# exit Route(config)#int s00 Route(config-if)#ip access-goup ingess-antispoof in 根据RFC 2267规定,互联网服务提供商(ISP)必须在网络上使用类似这一类的过滤。
注意末尾处ACL包含pemit ip any any的方式。
在“真实世界”中,你的路由器中可能拥有一个状态式防火墙(stateful fieful),它可以保护你的内部局域网。
当然你可以在这方面更进一步,即过滤所有来自内网中其他子网的进站信息,以便保证没有人在一个子网内向其它子网进行IP地址欺骗。
你还可以实施出站ACL来防止你的网络中的用户仿冒其他网络的IP地址。
不过记住这只是整个网络安全策略中的一个方面。
使用反向路径转发(evese path fowading,即IP验证) cisco认证网,加入收藏另一个避免IP地址欺骗的方法是使用反向路径转发(RPF),或者叫IP验证。
在Cisco IOS中,反向路径转发的命令以ip veify开头。
RPF的工作原理和反垃圾邮件解决方案非常类似
网络安全之选择题11.解决IP欺骗技术的最好方法是安装过滤路由器
1.解决IP欺骗技术的最好方法是安装过滤路由器,在该路由器的过滤规则中,正确的是:( C ) 2.在以下网络互连设备中,( D ) 通常是由软件来实现的。
3.在网络信息安全模型中,( A )是安全的基石。
它是建立安全管理的标准和方法。
4.下列口令维护措施中,不合理的是( B ) 5.病毒扫描软件由( C )组成
以下哪个攻击步骤是ip欺骗系列攻击中最关键和难度最高的
dns攻击主要有以下这几种方式:DNS缓存感染 攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。
这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。
DNS信息劫持 TCP/IP体系通过序列号等多种方式避免仿冒数据的插入,但入侵者如果通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。
每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。
攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。
假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。
原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问,这样他就被欺骗到了别处而无妨连接想要访问的那个域名。
DNS重定向 攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。
ARP欺骗 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP病毒,则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中,造成用户访问域名的错误指向。
如果IDC机房也被ARP病毒入侵后,则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器,以使访问导向错误指向的情况。
本机劫持 本机的计算机系统被木马或流氓软件感染后,也可能会出现部分域名的访问异常。
如访问挂马或者钓鱼站点、无法访问等情况。
本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。
防范Arp攻击、采用UDP随机端口、建立静态IP映射、运行最新版本的BIND、限制查询、利用防火墙进行保护、利用交叉检验、使用TSIG机制、利用DNSSEC机制。
下面分别做出说明。
防范Arp攻击 主要是针对局域网的DNS ID欺骗攻击。
如上所述,DNS ID欺骗是基于Arp欺骗的,防范了Arp欺骗攻击,DNS ID欺骗攻击是无法成功实施的。
采用UDP随机端口 不再使用默认的53端口查询,而是在UDP端口范围内随机选择,可使对ID与端口组合的猜解难度增加6万倍,从而降低使DNS缓存攻击的成功率。
建立静态IP映射 主要是指DNS服务器对少部分重要网站或经常访问的网站做静态映射表,使对这些网站的访问不再需要经过缓存或者向上一级的迭代查询,从而在机制上杜绝DNS欺骗攻击。
运行最新版本的BIND 使用最新版本的BIND,可以防止已知的针对DNS软件的攻击(如DoS攻击、缓冲区溢出漏洞攻击等)。
应密切关注BIND安全公告,及时打好补丁。
限制查询 在BIND8和BIND9之后,BIND的allow-query子句允许管理员对到来的查询请求使用基于IP地址的控制策略,访问控制列表可以对特定的区甚至是对该域名服务器受到的任何查询请求使用限制策略。
如限制所有查询、限制特定区的查询、防止未授权的区的查询、以最少权限运行BIND等。
利用防火墙进行保护 这种保护方式可以使受保护的DNS服务器不致遭受分布式拒绝服务攻击、软件漏洞攻击。
原理是在DNS服务器主机上建立一个伪DNS服务器共外部查询,而在内部系统上建立一个真实的DNS服务器专供内部使用。
配置用户的内部DNS客户机,用于对内部服务器的所有查询,当内部主机访问某个网站时,仅当内部DNS服务器上没有缓存记录时,内部DNS才将查询请求发送到外部DNS服务器上,以保护内部服务器免受攻击。
利用交叉检验 这种保护方式可以从一定程度上防范DNS欺骗攻击。
原理是反向查询已得到的IP地址对应的主机名,用该主机名查询DNS服务器对应于该主机名的IP地址,如果一致,则请求合法,否则非法。
使用TSIG机制 TSIF(事物签名)机制(RFC2845)通过使用共享密钥(Secret Key)及单向散列函数(One-way hash function)提供信息的验证以及数据的完整性。
当配置了TSIG后,DNS消息会增加一个TSIF记录选项,该选项对DNS消息进行签名,为消息发送者和接受者提供共享密钥,从而保证了传输数据不被窃取和篡改。
TSIP机制的部署步骤不做赘述,相关RFC文档有详细说明。
利用DNSSEC机制 为保证客户机发送的解析请求的完整性,保护DNS服务器及其中的信息,防止入侵者冒充合法用户向他人提供虚假DNS信息,IETF(网络工程任务组)提出了DNS安全扩展(DNSSEC)的安全防范思想。
1、 DNSSEC工作原理 为提高DNS访问数据包的安全性,DNSSEC在兼容现有协议的基础上引入加密和认证体系,在每个区域都有一对区域级的密钥对,密钥对中...
【ip抓取工具】ip提取软件可以干嘛?
文主要向大家介绍了IP欺骗技术,同时向给大家讲解了如何利用思科IOS进行防止IP欺骗,包括阻止IP地址,反向路径转发等方面,相信看过此文会对你有所帮助。
互联网充满着各种安全威胁,其中之一就是IP地址欺骗。
IP欺骗技术就是伪造某台主机的IP地址的技术。
通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。
互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。
可以毫不客气地说,I0S是思科路由器产品的动力之源。
那么怎样利用思科IOS防止IP欺骗呢? 阻止IP地址 防止IP欺骗的第一步就是阻止能造成风险的IP地址。
虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享特别的IP地址。
例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Intenet访问本机: ·10.0.0.0(255.0.0.0) ·172.16.0.0(255.240.0.0) ·192.168.0.0(255.255.0.0) ·127.0.0.0(255.0.0.0) ·224.0.0.0(224.0.0.0) ·169.254.0.0(255.255.0.0) 以上所列示的是私有的在互联网上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不应出现在互联网上。
如果来自互联网的通信以其中某个IP地址为源地址,必定是欺骗性的通信。
此外,其它常被欺骗的IP地址是那些你的组织使用的任何内部IP地址。
如果你正使用全部的私有IP地址,那你的范围就应该属于以上所列示的IP地址。
然而,如果你正使用自己的公有IP地址范围,你就应该将其加入到以上列表中。
实施访问控制列表(ACL) 最简单的防止欺骗的方法就是对所有的互联网通信使用一个进入过滤器。
进入过滤器会丢弃源地址为以上所列地址的任何数据包。
换句话说,就是创建一个ACL(access contol list),使之丢弃所有进入的网络的源地址为上述列表中IP地址的数据包。
如何获得对方IP,高手进
,后你会看到: m$}b Active ConnectionsV Proto Local Address Foreign Address State<. 输入IP便能查找出与之对应的国家或地区所在地。
实施攻击的初步一般是要查到欲攻击目标的IP地址。
查他人IP地址的方法有很多,按查找对象来划分。
下面就是该方法的具体实现步骤: 首先单击“开始”/“运行”命令,那个新增加的连接其实就是对方好友与你之间的UDP连接,查看对应连接中的“ForeignAddress”就能知道对方好友的IP地址了;cel 二.通过DOS命令获得QQ好友IP地址M 在与好友聊天时可以通过DOS命令“netstat"获取对方的IP地址的.121: qd(mVY Active Connections l4Mt[7 Proto Local Address Foreign Address State}r TCP 202。
主要功能是。
下面我们举例来看看如何查他人IP地址 一、查QQ用户IP地址 1.通过FolkOicq查IP FolkOicq是个能给QQ添加IP显示补丁的程序,最新版本FolkQQ0530SE_B2。
下载后得到一个Zip的压缩包.34.78,来查出对方好友的IP地址,不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以,用Winzip解压出文件QQ2000.EXE,将它复制到QQ的安装目录下(在这之前最好是备份一下原来的QQ2000,你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”!原因:在与好友聊天时,双方要要产生连接.“此处的内容的多少不一。
而退出聊天后的“TIME_WAIT”的意思就是“等待连接”.通过QQ补丁获得好友IP地址\^Z5i 在网上下载一个能显示好友IP地址的QQ补丁就行了,或着直接下载一个能显示对方IP的qq聊天软件..,会弹出一个对话框,要求你在“设置”中设置好各个参数.78:1200 202。
}K ©西墙明镜论谈 -- 肇东第一个门户网站 CA>ga 三,这里就不一一介绍了.139;西墙明镜论谈 -- 肇东第一个门户网站 vg~,端口和所处区域。
. 获得好友的IP地址还有其他方法;然后在DOS命令行中执行“netstat-n”命令.34.78,防止以后出错不能恢复).一定要先打开QQ,再打开本软件,在弹出的系统运行对话框中,输入“cmd”命令,单击“确定”按钮后,将屏幕切换到MS-DOS工作状态。
+Kc 2。
四种方法g7 当你使用QQ与好友聊天时,可以通过多种方法获得好友的IP地址,我把最常用的几种方法介绍过给大家。
所以你只管问。
当问不着只有采取其他方法了。
- 8F命令查询法 这种方法是通过Windows系统内置的网络命令“netstat”,这样你的计算机就会与对方好友的计算机之间建立好了TCP连接..;C 1,监听功能可能无效。
2}9d 4:1200 202.121.139.35;netstat -n" TCP 202.109.34.109.109。
2.exe. 能够进行IP攻击,不准确):查QQ用户IP地址、聊天室中查IP、查任意一个人的IP地址、查互联网中已知域名主机对应的IP地址。
这时你与对方聊天时.如果,发送的消息经服务器转送,则无法监听对方的IP地址:4869 211.202.1.227:23 ESTABLISHEDf2- ©西墙明镜论谈 -- 肇东第一个门户网站 T 比较上述两组数据.用户可以自定义数据,只是IP不同。
”yB^$] TCP 202..。
5,然后向某人发一消息或等某人向你发消息,程序就会显示该人的QQ号码,IP地址,本人在局域网内。
3,在弹出的图4界面中.0..)(" TCP 202,陌生人的IP地址及所处地区.IpLocate.exe与wry.dat必须放在同一目录下。
“ESTABLISHED”的意思就是“连接已建立”。
至于获得对方IP地址有什么用处:4869 211.202.1.227:23 ESTABLISHED=fO ©西墙明镜论谈 -- 肇东第一个门户网站 $C~ 这时退出“聊天模式”,你知道我的IP地址后不管干什么坏事都对我造不成什么损失,反正是和上面一行的形式相同?对:",这里就不引导你做坏事了。
如果你问我的IP地址的话我会告诉你的。
因为我总是在网吧上网,看看现在又增加了哪个tcp连接。
具体说明参照它的帮助。
XkgSQ 但是请注意如果查不到IP地址可能是下列原因:V\,对方的IP地址就显示你的在QQ窗口里。
但是最新出的QQ的“补丁”没做出来的话,就得用其他方法了。
pp%F 一.通过与好友聊天问好友IP地址) 这一着通常是很难奏效的,不过这是最简单获得对方IP地址的方法:^` 1. 能够查出QQ上好友,你自己想吧.h"。
!f 3.如果,它是Windows自带的命令。
但是要在聊天模式里才能用!这就是对方的IP地址。
.通过IpSniper查IP IpSniper是针对QQ2000的IP地址查询工具;此时,再在DOS命令行中执行“netstat-n”命令.35:61555 ESTABLISHEDL[? .,就表明你的计算机和对方计算机之间的连接是成功的); 其次打开QQ程序,邀请对方好友加入“二人世界”:61555 TIME_WAITImQ 。
此主题相关图片如下: 看到61.183.121.18了吗,然后在DOS下再输入一次上述命令。
你会看到。
K3 当与好友聊天时在DOS窗口里输入命令,并在其中与朋友聊上几句。
点击“设置”,指定QQ执行文件所在的目录以及文件名,点击“确定”即可。
下次运行IpSniper,就会直接启动QQ主程序。
当你与好友或者陌生人通话的同时,IpSniper会实时的截获通话者的Ip地址、端口号以及对方的QQ号码,并把对方所在地的地理位置一并显示出来。
此主题相关图片如下: 3.通过防火墙查IP 由...
如何嗅探他人IP,有什么好软件.答得好追加积分
2.被动查对方IP 如今的网上真的不大安静,总有些人拿着扫描器扫来扫去。
如果你想查那个扫你电脑的人的IP,可用下面的方法。
一种做法是用天网,用软件默认的规则即可。
如果有人扫描你的电脑,那么在“日志”中就可以看到那个扫你的人的IP了,他扫描你电脑的哪个端口也可从中看出。
由于我们在前面已经讲了用天网查QQ用户IP的方法,因此在这里就不多说了。
另外一种做法是用黑客陷阱软件,如“小猪快跑”、“猎鹿人”等,这些软件可以欺骗对方你的某些端口已经打开,让他误以为你已经中了木马,当他与你的电脑产生连接时,他的IP就记录在这些软件中了。
以“小猪快跑”为例,在该软件中有个非常不错的功能:“自定义密码欺骗端口设置”,你可以用它来自定义开启10个端口用来监听,不大明白?OK,下面就以把自己的计算机伪装成中了冰河木马为例,看看可爱的小猪是怎样欺骗对方、如何查到扫描者的IP的吧!点击“端口设置”选“自定义木马欺骗端口设置”,进入“木马欺骗端口设置”对话框。
在“木马欺骗端口设置”界面上用鼠标选中“端口1”,“端口数”填冰河木马的默认端口7626,其他不用填,点击“设置完毕”退出。
好了,冰河木马欺骗端口设置完毕。
现在回到“小猪快跑”的主界面,点击“开始监视”,工作区内立即出现“7626端口开始监视”的提示,欺骗开始了…… 这时,如果有“灰”客对你的计算机进行扫描,他就会发现你计算机的7626端口开着,这个“灰”客自然会以为你中了木马冰河呢。
当他用冰河控制端登陆你的计算机时,冰河会告诉他“命令发送完毕”,由于你没有中木马,所谓的木马是你设置出来的假木马,因此他也就无法再进行下一步了。
无论他登陆多少次,都只会看到“命令发送完毕”,而“小猪快跑”的主窗口中却清清楚楚地显示出“xxx.xxx.xxx.xxx试图连接你的7626端口,已经开始欺骗”。
其中“xxx.xxx.xxx.xxx”就是对方的IP地址了,知道了对方的IP地址后,你就可以爱怎么办就怎么办了。
======================他这里提供了很多种办法 你可以慢慢研究.
怎么在局域网中找出p2p终结者使用者的IP
下面是具体的操作步骤和方法:方法(1)、首先装个arp防火墙,随便那个都可以,开启拦截外部arp攻击和ip地址冲突,当发现防火墙提示有人在发arp欺骗包时,修改自己的ip地址为攻击者的ip,此时,arp防火墙提示ip地址冲突(正常),此时等待,自己的电脑顶多不停提示ip冲突,而对方电脑的p2p软件的cpu利用率会一下子彪至98%(p2p软件的bug,一旦网络出现故障,cpu利用率就会剧增),导致假死机,此时,对方要么强制关闭p2p软件,要么硬重启,除此之外别无他法,这样目的就达到了,是不是比用“反p2p终结者”更好用。
如果别人再开p2p,就再给电脑IP地址冲突,或者直接用对方的IP,想一个人的忍耐是有度的,当几次电脑假死机后,就会体会到p2p软件的问题,也就不会再用p2p来控制别人了。
方法(2)、就是自己用了反P2P终结者软件后,还再开P2P终结者软件,所以又被限制了。
所以也要下载一个P2P终结者软件(最好是企业版的,因为权限比较大)。
也限制回给它。
还可以断网线。
当然和平解决为主。
