使用擴充套件訪問列表
擴充套件訪問列表是防止
dos攻擊的有效工具。它既可以用來探測
dos攻擊的型別,也可以阻止
dos攻擊。既可以限制源目的位址
,tcp/udp埠,
還可以限制埠速率
.show ip access-list
命令能夠顯示每個擴充套件訪問列表的匹配資料報,根據資料報的型別,使用者就可以確定
dos攻擊的種類。如果網路**現了大量建立
tcp連線的請求,這表明網路受到了
syn flood
攻擊,這時使用者就可以改變訪問列表的配置,阻止
dos攻擊。
使用qos
使用服務質量優化(qos)特徵,如加權公平佇列(wfq)、承諾訪問速率(car)、一般流量整形(gts)以及定製佇列(cq)等,都可以有效阻止dos攻擊。需要注意的是,不同的qos策略對付不同dos攻擊的效果是有差別的。例如,wfq對付ping flood攻擊要比防止syn flood攻擊更有效,這是因為ping flood通常會在wfq中表現為乙個單獨的傳輸佇列,而syn flood攻擊中的每乙個資料報都會表現為乙個單獨的資料流。此外,人們可以利用car來限制icmp資料報流量的速度,防止smurf攻擊,也可以用來限制syn資料報的流量速度,防止syn flood攻擊。使用qos防止dos攻擊,需要使用者弄清楚qos以及dos攻擊的原理,這樣才能針對dos攻擊的不同型別採取相應的防範措施。
使用位址逆向**
逆向**(rpf)是
路由器的乙個輸入功能,該功能用來檢查
路由器介面所接收的每乙個資料報。如果
路由器接收到乙個源ip位址為10.10.10.1的資料報,但是
路由表中沒有為該ip位址提供任何
路由資訊或者收到資料報的介面不是路由表中的出介面,
路由器就會丟棄該資料報,因此逆向**能夠阻止smurf攻擊和其他基於ip位址偽裝的攻擊。
使用基於內容的訪問控制
基於內容的訪問控制(cbac)是對傳統訪問列表的擴充套件,它基於應用層會話資訊(或者可以針對資料報的任何一位),智慧型化地過濾tcp和udp資料報,防止dos攻擊。
修改預設的口令
據國外調查顯示,80%的安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的預設口令列表。你可以肯定在某些地方的某個人會知道你的生日。securitystats.com**維護乙個詳盡的可用/不可用口令列表,以及乙個口令的可靠性測試。
關閉路由器的http設定
正如思科的技術說明中簡要說明的那樣,http使用的身份識別協議相當於向整個網路傳送乙個未加密的口令。然而,遺憾的是,http協議中沒有乙個用於驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對於你從遠端位置(例如家裡)設定你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用預設的口令!如果你必須遠端管理路由器,你一定要確保使用snmpv3以上版本的協議,因為它支援更嚴格的口令。
封鎖icmp ping請求
ping
的主要目的是識別目前正在使用的主機。因此,ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠端使用者接收ping請求的應答能力,你就更容易避開那些無人注意的掃瞄活動或者防禦那些尋找容易攻擊的目標的「指令碼小子」(script kiddies)。
請注意,這樣做實際上並不能保護你的網路不受攻擊,但是,這將使你不太可能成為乙個攻擊目標。
關閉ip源路由
ip協議允許一台主機指定資料報通過你的網路的路由,而不是允許網路元件確定最佳的路徑。這個功能的合法的應用是用於診斷連線故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網路進行映象,或者用於攻擊者在你的專用網路中尋找乙個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。
關閉不必要的服務
路由器除了提供telnet遠端登入服務外,還提供很多二層、三層的服務。路由器上執行的服務越多,安全隱患也就越大。其實,很多服務是路由器通常不需要的,這就需要管理員了解各種服務的用途,根據實際情況關閉一些不需要的服務。甚至可以關閉遠端登入和管理。
保持路由器的物理安全
從網路嗅探的角度看,路由器比集線器更安全。這是因為路由器根據ip位址智慧型化地路由資料報,而集線器相所有的節點播出資料。如果連線到那台集線器的乙個系統將其網路介面卡置於混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、pop3通訊和web通訊。
然後,重要的是確保物理訪問你的網路裝置是安全的,以防止未經允許的膝上型電腦等嗅探裝置放在你的本地子網中。
花時間審閱安全記錄
審閱你的路由器記錄(通過其內建的防火牆功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連線的特洛伊木馬程式和間諜軟體程式。用心的安全管理員在病毒傳播者作出反應之前能夠查出「紅色**」和「nimda」病毒的攻擊。
wingking84
原創 路由器安全隨想
一些想法先記下來。問題 1.無線密碼顯示明碼,管理密碼顯示星號,明碼不安全。2.白名單,mac繫結,是寫死的值,也不安全,你不用別人可以用。3.手機聯網的手機號,明碼不安全。5.沒有限制聯上網次數 黑名單,因為windows有登陸次數限制,聯想到的。6.沒有把管理介面和非管理員使用者分離,只要聯網的...
路由器安全設定指南 快速增強路由器安全十大捷徑
路由器安全設定指南 快速增強路由器安全十大捷徑。要不是思科最新發布的安全警告的提醒,很多網路管理員還沒有認識到他們的路由器能夠成為攻擊的熱點。路由器作業系統同網路作業系統一樣容易受到黑客的攻擊。下面是保證路由器安全的十個基本的技巧。1.更新你的路由器作業系統 就像網路作業系統一樣,路由器作業系統也需...
路由器連線路由器
有兩種方法!無論哪種,和貓接的主路由總是不變!只要改從路由的設定!第一。從路由還是當路由用!設定 路由a為主路由,路由b為從路由!假設你現在有兩個路由 路由a 和 路由b 同時使用的是adsl撥號上網。首先,設定路由a的wan口狀態設定為pppoe撥號狀態,然後填入adsl撥號的賬號和密碼。然後,設...