我想测试我的网络甚至 ISP 是否阻止了欺骗性 IP 数据包。我正在运行 Debian Linux 操作系统。
我发现了这个不错的工具,但它在我的系统上不起作用。 https://www.caida.org/projects/spoofer/
有人知道其他检查方法吗?
答案1
你不可能完全阻止 IP 欺骗
IP 网络在某种程度上是脆弱的......
您需要知道如何做才能使 IP 欺骗变得更加困难、更少发生或在某些情况下无法发生(这实际上很重要)。下面是我在 aa 上找到的一份不错的列表简单的网站。该网站还解释了 IP 欺骗的基本概念,以更好地帮助您了解所面临的问题。
- 使用基于网络上机器之间的密钥交换的身份验证;像 IPsec 这样的技术将大大降低欺骗的风险。
- 使用访问控制列表拒绝下游接口上的私有 IP 地址。
- 实施入站和出站流量的过滤。
- 如果您的路由器和交换机支持此类配置,请对其进行配置,以拒绝声称来自内部但来自本地网络外部的数据包。
- 在路由器上启用加密会话,以便网络之外的受信任主机可以安全地与本地主机通信。
我相信清单项目编号 1对于强大的安全性至关重要。基本上不要信任基于 IP 的东西,所以它是否被欺骗并不重要。如果您有任何顾虑,请使用密钥交换的良好加密来验证机器的身份。
OpenVPN 就是一个很好的例子,它是一种仅在密钥交换时才信任系统的方法
- 服务器有一个密钥,客户端可以验证
- 客户端获得一个服务器可以验证的密钥,该密钥使用密码加密
- 如果任何一个系统出现问题,就不会有信任(隧道)