在路由器使用ACL阻止IP地址欺的方法和配置命令行

针对网络上常见的IP地址欺骗对策，可以在路由器上使用ACL（访问控制列表）来进行防御和阻止。具体的方法和配置命令行如下。

攻击者经常用来获取网络信息的一种方法是冒充成一个网络中可信的成员。攻击者欺骗数据包中的源IP地址，然后发往内部网络。攻击者只需要将数据包中的源IP地址改成一个属于内部子网的地址即可。

1. 入站

RB（config）#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log

RB（config）#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log

RB（config）#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log

RB（config）#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log

RB（config）#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log

RB（config）#access-list 150 deny ip host 255.255.255.255 any log

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

后面log的作用是：当数据包应用该策略被拒绝时将会在控制台显示。

这个访问控制列表拒绝任何来自以下源地址的数据包：

n 任何本地主机地址（127.0.0.0/8）；

n 任何保留的私有地址；

n 任何组播IP地址（224.0.0.0/4）。

2. 出站 

规则	决不应该允许任何含有非内部网络有效地址的IP数据包出站。

 RB（config）#access-list 105 permit ip 192.168.0.0 0.0.255.255 any

RB（config）#access-list 105 deny ip any any log

RB（config）#interface Serial 2/0

RB（conofig-if）#ip access-group 105 out