atwiki-logo
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ(更新順)
    • おまかせページ移動
  • RSS
    • このウィキの更新情報RSS
    • このウィキ新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡(不具合、障害など)
ページ検索 メニュー
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
  • ウィキ募集バナー
  • 目安箱バナー
  • 操作ガイド
  • 新規作成
  • 編集する
  • 全ページ一覧
  • 登録/ログイン
ページ一覧
DynagenでCCIEを目指す
ページ検索 メニュー
  • 新規作成
  • 編集する
  • 登録/ログイン
  • 管理メニュー
管理メニュー
  • 新規作成
    • 新規ページ作成
    • 新規ページ作成(その他)
      • このページをコピーして新規ページ作成
      • このウィキ内の別ページをコピーして新規ページ作成
      • このページの子ページを作成
    • 新規ウィキ作成
  • 編集
    • ページ編集
    • ページ編集(簡易版)
    • ページ名変更
    • メニュー非表示でページ編集
    • ページの閲覧/編集権限変更
    • ページの編集モード変更
    • このページにファイルをアップロード
    • メニューを編集
    • 右メニューを編集
  • バージョン管理
    • 最新版変更点(差分)
    • 編集履歴(バックアップ)
    • アップロードファイル履歴
    • ページ操作履歴
  • ページ一覧
    • このウィキの全ページ一覧
    • このウィキのタグ一覧
    • このウィキのタグ一覧(更新順)
    • このページの全コメント一覧
    • このウィキの全コメント一覧
    • おまかせページ移動
  • RSS
    • このwikiの更新情報RSS
    • このwikiの新着ページRSS
  • ヘルプ
    • ご利用ガイド
    • Wiki初心者向けガイド(基本操作)
    • このウィキの管理者に連絡
    • 運営会社に連絡する(不具合、障害など)
  • atwiki
  • DynagenでCCIEを目指す
  • トップページ
  • 動作検証 ネットワーク系
  • anti spoofing

DynagenでCCIEを目指す

anti spoofing

最終更新:2010年10月31日 13:09

it_certification

- view
管理者のみ編集可
  • 1. 目的
  • 2. 構成
    • 2.1. 設定概要
    • 2.2. 構成図
    • 2.3. netファイル
    • 2.4. 初期設定
    • 2.5. サーバ側 ルーティング設定
  • 3. [検証] 設定確認
    • 3.1. ping送信
    • 3.2. キャプチャ結果の確認
  • 4. [検証] ACLによるspoofing対策
    • 4.1. ACLの設定
    • 4.2. ping送信
    • 4.3. ログによる確認
    • 4.4. キャプチャ結果の確認
  • 5. [検証] uRPFによるspoofing対策
    • 5.1. 概要
    • 5.2. uRPFの設定
    • 5.3. ping送信
    • 5.4. キャプチャ結果の確認
  • 6. [検証] uRPFとACLの併用
    • 6.1. uRPFとACLの設定
    • 6.2. ping送信
    • 6.3. ログによる確認
    • 6.4. キャプチャ結果の確認

1. 目的

  • Cisco IOSを使用したspoofing対策について考察します。

2. 構成

2.1. 設定概要

  • 初期設定はIPアドレスのみです。
  • Guest OS側には、hpingがインストールされているものとします。hpingはyumで簡単にインストールする事ができます。

2.2. 構成図

2.3. netファイル

model = 3620
[localhost]
	
	[[3620]]
		image = C:\Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin
		ram = 128
	
	[[ROUTER R1]]
		f0/0 = NIO_gen_eth:\Device\NPF_{8B89D910-5ED3-4A43-9DE9-6A272A3D7592}
		f1/0 = NIO_gen_eth:\Device\NPF_{5933302A-7AAA-475C-A8FE-A6B82B0C0F98}

2.4. 初期設定

  • R1
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 200.200.201.1 255.255.255.0
 duplex auto
 speed auto
!
ip http server
ip classless
!
!
no cdp run
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

2.5. サーバ側 ルーティング設定

  • Host OS
route add 200.200.201.0 mask 255.255.255.0 192.168.200.1
route add 172.16.0.0 mask 255.255.255.0 192.168.200.1
  • Guest OS
route add -net 192.168.200.0/24 gw 200.200.201.1

3. [検証] 設定確認

3.1. ping送信

Guest OS側で送信元IPアドレスを偽装したパケットが、デフォルトの設定ではHost OSまで届いてしまっている事を確認します。
hping3を使用して送信元IPアドレスを偽装したpingをHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#

3.2. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元IPアドレスを偽装したpingがHost OSまで届いてしまっている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

4. [検証] ACLによるspoofing対策

4.1. ACLの設定

spoofing対策の最も単純な実装はACLの設定です。インターネット側のI/Fで送信元がプライベートアドレスであるパケットを全て遮断します。
Fa1/0 in方向で、送信元がプライベートアドレスであるものを拒否します。
R1(config)#ip access-list standard SPOOF_GUARD
R1(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
R1(config-std-nacl)#deny 172.16.0.0 0.15.255.255 log
R1(config-std-nacl)#deny 192.168.0.0 0.0.255.255 log
R1(config-std-nacl)#permit any log
R1(config-std-nacl)#exit
R1(config)#
R1(config)#
R1(config)#logging buffered 4096
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 1/0
R1(config-if)#ip access-group SPOOF_GUARD in

4.2. ping送信

送信元を偽装したpingと正常なpingをguest OSからHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
5 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
len=28 ip=192.168.200.100 ttl=127 id=49051 icmp_seq=0 rtt=20.0 ms
len=28 ip=192.168.200.100 ttl=127 id=49075 icmp_seq=1 rtt=0.0 ms
len=28 ip=192.168.200.100 ttl=127 id=49100 icmp_seq=2 rtt=10.0 ms
^C
--- 192.168.200.100 hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 10.0/10.0/20.0 ms
[root@localhost ~]#

4.3. ログによる確認

送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を、ログから読み取ります。
R1#
*Mar  1 01:05:48.579: %SEC-6-IPACCESSLOGS: list SPOOF_GUARD denied 172.16.0.1 1 packet
*Mar  1 01:06:01.223: %SEC-6-IPACCESSLOGS: list SPOOF_GUARD permitted 200.200.201.101 1 packet
R1#

4.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

5. [検証] uRPFによるspoofing対策

5.1. 概要

uRPFチェックを行った結果、送信元IPアドレスが偽装されている可能性があると判断した場合、パケットを破棄する事ができます。設定は以下の通りです。
Router(config-if)#ip verify unicast source reachable-via <I/F> <許容範囲>

項目 設定 詳細
I/F any Source is reachable via any interface. どのI/Fからのパケットも許可します。インターネット側の経路が冗長化されており、いつもuRPFチェックが成功するとは限らない場合は、こちらを指定します。
rx Source is reachable via interface on which packet was received. uRPFチェックに成功するI/Fからのパケットのみ許可します。
許可方法 <1-199> A standard IP access list number. ACLに合致したパケットはuRPFチェックを実施せずにパケットを転送します。uRPFチェックを実施しないパケットを増やす事によってCPU節約を図る事ができます。
<1300-2699> A standard IP expanded access list number. ACLに合致したパケットはuRPFチェックを実施せずにパケットを転送します。uRPFチェックを実施しないパケットを増やす事によってCPU節約を図る事ができます。
allow-default Allow default route to match when checking source address. uRPFチェックに成功したパケットのみを転送します(デフォルト)
allow-self-ping Allow router to ping itself (opens vulnerability in verification). ルータから送信元へのping成功するパケットのみを転送します。


5.2. uRPFの設定

uRPFチェックによってspoofing対策を行う設定を投入します。また、「4. [検証] ACLによるspoofing対策」の設定を削除します。
R1(config)#interface FastEthernet 1/0
R1(config-if)#no ip access-group SOURCE_GUARD in
R1(config-if)#ip verify unicast source reachable-via rx

5.3. ping送信

送信元を偽装したpingと正常なpingをguest OSからHost OSへ送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
len=28 ip=192.168.200.100 ttl=127 id=54012 icmp_seq=0 rtt=20.0 ms
len=28 ip=192.168.200.100 ttl=127 id=54037 icmp_seq=1 rtt=10.0 ms
len=28 ip=192.168.200.100 ttl=127 id=54062 icmp_seq=2 rtt=10.0 ms
^C
--- 192.168.200.100 hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 10.0/13.3/20.0 ms
[root@localhost ~]#

5.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元を偽装したpingは遮断されるものの正常なpingはHost OSまで届いている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;

6. [検証] uRPFとACLの併用

6.1. uRPFとACLの設定

ACLに合致したものはuRPFチェックの対象外にする事ができます。ルータの場合はあまり効果がありませんが、スイッチならばACLはハードウェアベースで処理されるため、CPU負荷を削減する事ができます。
現実的な設定ではありませんが、172.16.0.1のみをuRPFチェックの対象外にする設定を投入し動作確認を行います。
R1(config)#access-list 1 permit host 172.16.0.1 log
R1(config)#access-list 1 deny any log
R1(config)#
R1(config)#
R1(config)#interface FastEthernet 1/0
R1(config-if)#no ip verify unicast source reachable-via rx
R1(config-if)#ip verify unicast source reachable-via rx 1

6.2. ping送信

送信元が172.16.0.1のpingと送信元が172.16.0.2のpingを送信します。
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.1
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# hping3 192.168.200.100 --icmptype 8 --spoof 172.16.0.2
HPING 192.168.200.100 (eth1 192.168.200.100): icmp mode set, 28 headers + 0 data bytes
^C
--- 192.168.200.100 hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
[root@localhost ~]#


6.3. ログによる確認

送信元を偽装したpingがルータまで届いている事を、ログから確認します。
R1#
*Mar  1 01:15:12.707: %SEC-6-IPACCESSLOGS: list 1 permitted 172.16.0.1 1 packet
*Mar  1 01:15:19.791: %SEC-6-IPACCESSLOGS: list 1 denied 172.16.0.2 1 packet
R1#

6.4. キャプチャ結果の確認

ルータFa0/0で上記パケットをキャプチャし、送信元が172.16.0.1であるpingのみが転送されている事を確認します。
#ref error :ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (100%)
;
「anti spoofing」をウィキ内検索
LINE
シェア
Tweet
添付ファイル
  • acl.jpg
  • default.jpg
  • rpf.jpg
  • rpf_acl.jpg
  • topology.jpg
DynagenでCCIEを目指す
記事メニュー

メインコンテンツ

  • トップページ
  • トップページ/動作検証 ネットワーク系

更新履歴

取得中です。

@Wiki

  • @wiki
  • @wikiご利用ガイド
  • プラグイン紹介
  • まとめサイト作成支援ツール




ここを編集
記事メニュー2
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
  • 3033日前

    トップページ
  • 4232日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4233日前

    トップページ/手順書 ネットワーク系
  • 4233日前

    トップページ/手順書 開発系
  • 4233日前

    トップページ/手順書 サーバ系
  • 4233日前

    トップページ/動作検証 ネットワーク系
  • 4946日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4967日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4980日前

    メニュー
  • 4990日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
  • 3033日前

    トップページ
  • 4232日前

    トップページ/手順書 ネットワーク系/Loopbackインターフェースとの接続
  • 4233日前

    トップページ/手順書 ネットワーク系
  • 4233日前

    トップページ/手順書 開発系
  • 4233日前

    トップページ/手順書 サーバ系
  • 4233日前

    トップページ/動作検証 ネットワーク系
  • 4946日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 15
  • 4967日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 14
  • 4980日前

    メニュー
  • 4990日前

    トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 13
もっと見る
ウィキ募集バナー
急上昇Wikiランキング

急上昇中のWikiランキングです。今注目を集めている話題をチェックしてみよう!

  1. シミュグラ2Wiki(Simulation Of Grand2)GTARP
  2. 発車メロディーwiki
  3. 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  4. ジョジョの奇妙な冒険 7人目のスタンド使い攻略wiki
  5. ダイナマイト野球3D
  6. シュガードール情報まとめウィキ
  7. Rainbow Six:Siege WIKI
  8. オバマス検証@wiki
  9. ゆっくり虐め専用Wiki
  10. EDF4.1:地球防衛軍4.1 THE SHADOW OF NEW DESPAIR @Wiki
もっと見る
人気Wikiランキング

atwikiでよく見られているWikiのランキングです。新しい情報を発見してみよう!

  1. アニヲタWiki(仮)
  2. ストグラ まとめ @ウィキ
  3. ゲームカタログ@Wiki ~名作からクソゲーまで~
  4. 初音ミク Wiki
  5. 発車メロディーwiki
  6. 検索してはいけない言葉 @ ウィキ
  7. 機動戦士ガンダム EXTREME VS.2 INFINITEBOOST wiki
  8. 機動戦士ガンダム バトルオペレーション2攻略Wiki 3rd Season
  9. オレカバトル アプリ版 @ ウィキ
  10. 英傑大戦wiki
もっと見る
新規Wikiランキング

最近作成されたWikiのアクセスランキングです。見るだけでなく加筆してみよう!

  1. MadTown GTA (Beta) まとめウィキ
  2. まどドラ攻略wiki
  3. シュガードール情報まとめウィキ
  4. R.E.P.O. 日本語解説Wiki
  5. Dark War Survival攻略
  6. SurrounDead 攻略 (非公式wiki)
  7. カツドンチャンネル @ Wiki
  8. シミュグラ2Wiki(Simulation Of Grand2)GTARP
  9. AviUtl2のWiki
  10. Wplace Wiki
もっと見る
全体ページランキング

最近アクセスの多かったページランキングです。話題のページを見に行こう!

  1. 参加者一覧 - ストグラ まとめ @ウィキ
  2. サーバールール - ストグラ まとめ @ウィキ
  3. エスターク・Z・ダークネス - ストグラ まとめ @ウィキ
  4. MOZU - ストグラ まとめ @ウィキ
  5. NO LIMIT - ストグラ まとめ @ウィキ
  6. 魔獣トゲイラ - バトルロイヤルR+α ファンフィクション(二次創作など)総合wiki
  7. 我孫子 清十郎 - ストグラ まとめ @ウィキ
  8. Super Subaru - ストグラ まとめ @ウィキ
  9. 暦家 - ストグラ まとめ @ウィキ
  10. アプリコット - ストグラ まとめ @ウィキ
もっと見る

  • このWikiのTOPへ
  • 全ページ一覧
  • アットウィキTOP
  • 利用規約
  • プライバシーポリシー

2019 AtWiki, Inc.