第5章：欺骗攻击及防御技术69450.ppt

* * 保护自己或者单位免受源路由欺骗攻击的最好方法是设置路由器禁止使用源路由。事实上人们很少使用源路由做合法的事情。因为这个原因，所以阻塞这种类型的流量进入或者离开网络通常不会影响正常的业务。在一个Cisco路由器上，可以通过使用IPsource-route命令使源路由有效或者无效，在其他路由器上可以使用类似的命令使源路由无效。 * * 保护自己免受信任关系欺骗攻击最容易的方法就是不使用信任关系。但是这并不是最佳的解决方案，因为便利的应用依赖信任关系，但是能通过做一些事情使暴露达到最小。首先，限制拥有信任关系的人员。这种情况下，决定谁真正需要信任关系和在控制建立信任关系的机器数量是更加有意义的。 其次，不允许通过网络使用信任关系。在大多数情况下，信任关系是让内部用户访问一些机器，然而一些单位信任那些放在个人家里的或者服务商那里的机器。这是非常危险的，应该尽量消除隐患。 * * 加密技术是可以防范会话劫持攻击为数不多的方式之一。如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。因此，任何用来传输敏感数据的关键连接都必须进行加密。 在理想的情况下，网络上的所有流通都应该被加密。很多人都想要一个能满足他们安要的解决方法，并且时刻保护着他们。但令人遗憾的是，因为成本和烦琐的原因，含有这项保护技术的工具已经面世有好一段时间了，却至今也没有推广。 * * 允许从网络上传输到用户