拒絕服務(dos)攻擊是目前黑客廣泛使用的一種攻擊手段,它通過獨佔網路資源、使其他主機不 能進行正常訪問,從而導致宕機或網路癱瘓。
dos攻擊主要分為smurf、syn flood和fraggle三種,在smurf攻擊中,攻擊者使用icmp資料報阻塞伺服器和其他網路資源;syn flood攻擊使用數量巨大的tcp半連線來占用網路資源;fraggle攻擊與smurf攻擊原理類似,使用udp echo請求而不是icmp echo請求發起攻擊。
儘管網路安全專家都在著力開發阻止dos攻擊的裝置,但收效不大,因為dos攻擊利用了tcp協議本身的弱點。正確配置路由器能夠有效防止 dos攻擊。以cisco路由器為例,cisco路由器中的ios軟體具有許多防止dos攻擊的特性,保護路由器自身和內部網路的安全。
擴充套件訪問列表是防止dos攻擊的有效工具。它既可以用來探測dos攻擊的型別,也可以阻止dos攻擊。show ip access-list命令能夠顯示每個擴充套件訪問列表的匹配資料報,根據資料報的型別,使用者就可以確定dos攻擊的種類。如果網路**現了大量建立tcp 連線的請求,這表明網路受到了syn flood攻擊,這時使用者就可以改變訪問列表的配置,阻止dos攻擊。
使用qos
使用服務質量優化(qos)特徵,如加權公平佇列(wfq)、承諾訪問速率(car)、一般流量整形(gts)以及定製佇列(cq)等,都可以有效阻止dos攻擊。需要注意的是,不同的qos策略對付不同dos攻擊的效果是有差別的。例如,wfq對付ping flood攻擊要比防止syn flood攻擊更有效,這是因為ping flood通常會在wfq中表現為乙個單獨的傳輸佇列,而syn flood攻擊中的每乙個資料報都會表現為乙個單獨的資料流。此外,人們可以利用car來限制icmp資料報流量的速度,防止smurf攻擊,也可以用來限制syn資料報的流量速度,防止syn flood攻擊。使用qos防止dos攻擊,需要使用者弄清楚qos以及dos攻擊的原理,這樣才能針對dos攻擊的不同型別採取相應的防範措施。
使用單一位址逆向**
逆向**(rpf)是路由器的乙個輸入功能,該功能用來檢查路由器介面所接收的每乙個資料報。如果路由器接收到乙個源ip位址為 10.10.10.1的資料報,但是cef(cisco express forwarding)路由表中沒有為該ip位址提供任何路由資訊,路由器就會丟棄該資料報,因此逆向**能夠阻止smurf攻擊和其他基於ip位址偽裝的攻擊。
使用rpf功能需要將路由器設為快速**模式(cef switching),並且不能將啟用rpf功能的介面配置為cef交換。rpf在防止ip位址欺騙方面比訪問列表具有優勢,首先它能動態地接受動態和靜態路由表中的變化;第二rpf所需要的操作維護較少;第三rpf作為乙個反欺騙的工具,對路由器本身產生的效能衝擊,要比使用訪問列表小得多。
使用tcp攔截
cisco在ios 11.3版以後,引入了tcp攔截功能,這項功能可以有效防止syn flood攻擊內部主機。
在tcp連線請求到達目標主機之前,tcp攔截通過攔截和驗證來阻止這種攻擊。tcp攔截可以在攔截和監視兩種模式下工作。在攔截模式下,路由器攔截到達的tcp同步請求,並代表伺服器建立與客戶機的連線,如果連線成功,則代表客戶機建立與伺服器的連線,並將兩個連線進行透明合併。在整個連線期間,路由器會一直攔截和傳送資料報。對於非法的連線請求,路由器提供更為嚴格的對於half-open的超時限制,以防止自身的資源被syn攻擊耗盡。在監視模式下,路由器被動地觀察流經路由器的連線請求,如果連線超過了所配置的建立時間,路由器就會關閉此連線。
在cisco路由器上開啟tcp攔截功能需要兩個步驟:一是配置擴充套件訪問列表,以確定需要保護的ip位址;二是開啟tcp攔截。配置訪問列表是為了定義需要進行tcp攔截的源位址和目的位址,保護內部目標主機或網路。在配置時,使用者通常需要將源位址設為any,並且指定具體的目標網路或主機。如果不配置訪問列表,路由器將會允許所有的請求經過。
使用基於內容的訪問控制
基於內容的訪問控制(cbac)是對cisco傳統訪問列表的擴充套件,它基於應用層會話資訊,智慧型化地過濾tcp和udp資料報,防止dos攻擊。
cbac通過設定超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連線。對tcp而言,半連線是指乙個沒有完成三階段握手過程的會話。對udp而言,半連線是指路由器沒有檢測到返回流量的會話。
cbac正是通過監視半連線的數量和產生的頻率來防止洪水攻擊。每當有不正常的半連線建立或者在短時間內出現大量半連線的時候,使用者可以判斷是遭受了洪水攻擊。cbac每分鐘檢測一次已經存在的半連線數量和試圖建立連線的頻率,當已經存在的半連線數量超過了門限值,路由器就會刪除一些半連線,以保證新建立連線的需求,路由器持續刪除半連線,直到存在的半連線數量低於另乙個門限值;同樣,當試圖建立連線的頻率超過門限值,路由器就會採取相同的措施,刪除一部分連線請求,並持續到請求連線的數量低於另乙個門限值。通過這種連續不斷的監視和刪除,cbac可以有效防止syn flood和fraggle攻擊。
路由器是企業內部網路的第一道防護屏障,也是黑客攻擊的乙個重要目標,如果路由器很容易被攻破,那麼企業內部網路的安全也就無從談起,因此在路由器上採取適當措施,防止各種dos攻擊是非常必要的。
除了上述方法外,還可以租用五九盾高防伺服器,也可以抵禦dos攻擊。
如何防止無線路由器被破解
原創 南霸天 現在很多家庭都買無線路由器,大大方便了本本的上網移動性,一會在客廳上網,一會在臥室,一會又去書房,省去了到處拉網線的苦惱,方便了上網。至於網速,11g的54mbps完全滿足你的adsl的2mbps上網速度,這個大大完全不用擔心,如果你用的100m的光纖,真正的100m網路速度,我看沒有...
如何利用路由器OS配置熱點閘道器
閘道器概念 閘道器編輯閘道器 gateway 又稱網間聯結器 協議轉換器。閘道器在網路層以上實現網路互連,是最複雜的網路互連裝置,僅用於兩個高層協議不同的網路互連。閘道器既可以用於廣域網互連,也可以用於區域網互連。閘道器是一種充當轉換重任的計算機系統或裝置。在使用不同的通訊協議 資料格式或語言,甚至...
如何設定路由器?
我們現在一般個人使用者都普通用2m的寬頻,但有時候為了共享上網的話就會用到路由,哈哈,電信也查得嚴了!如何共享上網?這就需要乙個有路由的貓 moden 設定貓後,再用乙個 口或 口的 乙太網集線器如 慧谷 口 乙太網集線器就不錯,是 元左右 接上線就可上網 當然,更多人還是用乙個貓 乙個路由器 乙個...