67、网络安全：IP 欺骗与 Telnet 攻击全解析

网络安全：IP 欺骗与 Telnet 攻击全解析

1. IP 欺骗相关分析

1.1 相关网络公司及路由器防护局限

有一些网络相关公司，如 Telebit（http://www.telebit.com/）、ACC（http://www.acc.com/）、Baynetworks - Wellfleet（http://www.baynetworks.com/）。路由器虽能解决一般的 IP 欺骗问题，但它是通过检查源地址来工作的，所以只能防范那些声称来自内部网络的传入数据包。若网络信任外部主机，路由器就无法防范来自这些主机的欺骗攻击。

1.2 检测 IP 欺骗的安全产品

某些安全产品可检测你是否易受 IP 欺骗攻击，例如 Internet Security Systems（ISS，网址：http://iss.net）就提供此类产品，还有可在单个本地主机上使用的试用版，这些工具相当先进。

1.3 防火墙与 IP 欺骗防护

运行防火墙并不意味着能自动免受欺骗攻击。若允许内部地址通过防火墙的外部部分访问，就存在安全漏洞。

1.4 通过网络监控预防 IP 欺骗

可通过监控网络来预防 IP 欺骗，首先要识别那些声称来自内部网络，但试图在防火墙或网络接口进入网络的数据包。需要关注的数据包类型如下：
|数据包类型|描述|
| ---- | ---- |
|特定 TCP 数据包|源地址和目的地址的网络部分（A、B、C 类或无类域间路由（CIDR）规范指定的前缀和长度）相同，但都不是来自本地网络。这种数据包通常不会离开源网络，除非存在路由问题或实际来自外部网络