tcp攔截即tcp intercept,大多數的路由器平台都引用了該功能,其主要作用就是防止syn泛洪攻擊。syn攻擊利用的是tcp的三次握手機制,攻擊端利用偽造的 ip位址向被攻擊端發出請求,而被攻擊端發出的響應報文將永遠傳送不到目的地,那麼被攻擊端在等待關閉這個連線的過程中消耗了資源,如果有成千上萬的這種連線,主機資源將被耗盡,從而達到攻擊的目的。我們可以利用路由器的tcp攔截功能,使網路上的主機受到保護(以cisco路由器為例)。
開啟tcp攔截分為三個步驟:
1. 設定tcp攔截的工作模式
tcp攔截的工作模式分為攔截和監視。在攔截模式下,路由器審核所有的tcp連線,自身的負擔加重,所以我們一般讓路由器工作在監視模式,監視tcp連線的時間和數目,超出預定值則關閉連線。
格式:ip tcp intercept mode (intercept|watch)
預設為intercept
2. 設定訪問表,以開啟需要保護的主機
格式:access-list [100-199] [deny|permit] tcp source source-wildcard
destination destination-wildcard
舉例:要保護219.148.150.126這台主機
access-list 101 permit tcp any host 219.148.150.126
3. 開啟tcp攔截
ip tcp intercept list access-list-number
示例:我們有兩台伺服器219.148.150.126和219.148.150.125需要進行保護,可以這樣配置:
ip tcp intercept list 101
ip tcp intercept mode watch
........
ip access-list 101 permit tcp any host 219.148.150.125
ip access-list 101 permit tcp any host 219.148.150.126
經過這樣的配置後,我們的主機就在一定程度上受到了保護。
路由器保護內網的安全設定
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全裝置之一。一般來說,大多數網路都有乙個主要的接入點。這就是通常與專用防火牆一起使用的 邊界路由器 經過恰當的設定,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設定...
如何保護你的家用路由器
網路犯罪分子如何攻擊家庭網路?在某些情況下,黑客已經可以藉由一些不起眼的路由器臭蟲來攻擊系統和取得訪問許可權。如何保護你的家用路由器 加強家用路由器安全,防止或儘量減少攻擊,以下是一些基本建議 1 變更預設的管理設定 管理者許可權和密碼是攻擊者會嘗試破解的第一目標。2 關閉網路和使用加密 開啟路由器...
路由器保護內網的安全設定
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全裝置之一。一般來說,大多數網路都有乙個主要的接入點。這就是通常與專用防火牆一起使用的 邊界路由器 經過恰當的設定,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設定...