讓路由器遠離字典DoS攻擊

針對路由器的dos字典攻擊可以讓攻擊者取得cisco路由器的訪問權或者可能導致使用者無法使用路由器。在本文中，你可以找到如何使用cisco 網路作業系統的增強登陸功能來防止這種攻擊。

你可能還沒有認識到使用針對tel***、ssh或者http埠的字典式拒絕服務的（dos）攻擊可能成功的攻擊你的cisco路由器。事實上，我敢打賭，即便是大多數網路管理員沒有全部開啟這些埠，那麼他至少也會開啟其中乙個埠用於路由器的管理。

當然，在公網中開放這些埠要比在私網中開放這些埠危險的多。但是，無論是對公網開放還是對私網開放這些埠，你都需要保護你的路由器防止它們受到字典dos攻擊，通過這種攻擊，攻擊者可能獲得路由器的訪問權或者在你的網路中建立乙個簡單的服務出口。

不過由於在網路作業系統 12.3(4)t以及以後的版本中都有了增強的登陸功能，因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優勢：

在發現連續登陸嘗試後，建立乙個登陸延遲。

如果出現太多的登陸嘗試失敗的話，將不再允許登陸。

在系統日誌中建立相應的登陸資訊或者傳送snmp陷阱來警告和記錄有關失敗和不允許登陸的額外資訊。

如何知道你的路由器中是否包含這些**？最簡單的查詢方法是到"全域性配置模式（global configuration mode）並且輸入"login（登陸）""，這個命令將返回乙個選擇列表，具體顯示如下：

block-for--用於設定安靜模式活動時間週期。

delay--用於設定連續失敗登陸的時間間隔。

on-failure--用於設定試圖登陸失敗後的選項。

on-sucess--用於設定試圖登陸成功後的選項。

quiet-mode--用於設定安靜模式的選項。

如果你的路由器中的網路作業系統中沒有這個**，它將返回乙個"無法識別的命令"錯誤。

用於配置這些功能的最基本的基表的命令是login block-for命令，這也是唯一的命令。一旦你啟用了這個命令，其預設的登陸延遲時間是一秒。在你指定的時間內，如果試圖登陸的最大次數超過你所給定的次數的話，系統將拒絕所有的登陸嘗試。

在全域性配置模式下，執行下面的命令：

attempts （如果登陸的次數超過此數）within （在多少秒以內）

下面給出乙個例子

該命令對系統進行如下配置：如果在60秒以內有五次登陸失敗的話，路由器系統將在120秒以內拒絕所有的登陸。如果此時你輸入show login的話，你將接收到以下輸出資訊：

預設情況下登陸延遲時間是一秒鐘。

沒有配置安靜模式訪問列表。

路由器啟用了登陸攻擊監控程式。

如果在60秒左右的時間內有五次登陸失敗的話，

系統將禁用登陸操作120秒。

路由器目前處於正常模式。

目前的監控視窗還有54秒鐘。

目前的登陸失敗次數為0。

這些資訊顯示了你的設定，包括預設的登陸延遲時間為一秒鐘，以及其他的附加資訊。它還告訴你目前路由器處於正常模式，這意味著路由器目前還允許你登陸。

如果路由器認為有人對其進行攻擊，它將進入安靜模式，並且開始拒絕所有的登陸操作。你還可以配置乙個acl，在其中說明這個路由器對哪些主機和網路例外，無論是處於安靜模式還是處於其他狀態，都允許這些主機和網路登陸路由器。

下面是這些命令中用於配置系統的一些選項：

登陸延遲（數字）：在失效登陸後增加延遲的秒數。你可以選擇1到10之間的任何數字。

登陸失敗和登陸成功：這些選項允許你選擇在登陸成功或者失敗時使用的日誌和snmp警告的型別。

登陸安靜模式訪問類（acl數字）：增加acl數字，使用這個選項可以增加乙個隔絕列表，無論路由器處於安靜模式還是處於正常模式，這個列表中的主機和網路都可以登陸路由器。

通常情況下，為了安全，我建議在所有的路由器上都啟用login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。

如果你正好從事這方面的工作，並且你還沒有做好準備的話，那麼可以考慮只在路由器上使用ssh並且只允許從內網訪問。ssh加密所有從pc到路由器的通訊資訊（包括使用者名稱和密碼）。

要想得到這些新特徵的全部命令的參考資訊，請登陸到cisco ios login enhancements documentation 。