IP Spoof攻击检测一例

1.检测防火墙确认开启了IP Spoof，启用IP欺骗攻击防范后，USG防火墙对报文的源IP地址进行路由表反查，检查路由表中到源IP地址的出接口和报文的入接口是否一致。如果不一致，则丢弃该报文，并记录攻击日志。

#

firewall defend ip-spoofing enable

#

2.在配置SSL VPN后，

# service   network-extension enable   network-extension keep-alive enable   network-extension keep-alive interval 120   network-extension netpool x.x.x.2 x.x.x.254 255.255.255.0   netpool x.x.x.2 default   network-extension mode manual

...

#

3.防火墙在配置网络扩展地址池network-extension netpool后，默认不会生成到地址池网段的路由。当开启IP Spoof检测后，SSL VPN用户从Internet接入，防火墙查不到SSL VPN用户对应IP的路由信息，也即入和出端口不匹配，根据IP Spoof检测原理，被识别为攻击行为。