我正在学习入口过滤,其中未经授权的数据包被过滤掉进入网络。
为了更好地理解它,我找到了一篇文章,它说:
系统检查所有传入的数据包以获取有关其来源的信息。系统将此信息与数据库进行比较,以确定数据包是否确实来自它所说的地方。如果它看起来是匹配的,它可以被允许通过。如果源出现问题,系统可以保留数据包,使其远离网络并保护可能连接到网络的任何用户。
据我了解,如果欺骗数据包来自不在数据库中的源地址,将不允许进入网络。
然而
假设黑客欺骗了可以在数据库中找到的源地址,当系统将该信息与数据库信息进行比较时,将找到匹配并且数据包将进入网络,尽管它已被欺骗。
我想知道系统是否能够检测到被 IP 源地址欺骗的数据包,这些 IP 源地址可以在数据库中找到,如果是的话,如何检测到这些数据包?
编辑:看来“合法”和“非法”一词引起了很多混乱,所以我将其更改为在数据库中找到的源地址和在数据库中找不到的源地址。我希望这使问题更容易理解
如果黑客在 ACL 中的任何一行欺骗了与您的 SRC/DST 字段匹配的数据包,那么防火墙将允许该流量。
唯一的例外是如果你有一个状态防火墙,并且欺骗的数据包对于防火墙正在跟踪的给定对话没有“意义”。这方面的一个例子是黑客将 tcp syn's 欺骗到已经与真实源 IP 进行对话的主机。防火墙会看到这种行为并丢弃数据包。如果防火墙没有跟踪任何会话,则这不适用,因此状态防火墙将完全阻止所有欺骗数据包的情况充其量只是情景。
有状态和无状态防火墙都有例外,但一般来说很难为您提供更多(有用的)细节。
但是,您可以设计 ACL,使其在某些情况下能够检测到欺骗性 IP。例如,您可能有一个边缘防火墙,并且您从逻辑上知道只有公共 IP 会从外部进入您的网络,因此您可以创建 ACL 来阻止来自外部的所有私有 IP 空间,这可以阻止一些欺骗尝试.
类似地,您可以对您知道不会进入您为其创建 ACL 的接口的网络执行此操作,因此可以阻止不良的欺骗尝试。
有许多工具需要与防火墙协同工作以防止欺骗攻击,但任何工程师能做的最好的事情就是查看防火墙在其网络中的位置并设计 ACL 的因素,在该因素中逻辑上应该允许流量通过通过给定的接口。
如果您需要更多详细信息,请告诉我,我会为您改写答案!