亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

<nobr id="o6gty"></nobr>

Chinaunix

標(biāo)題: cisco路由器上的幾種安全防御措施 [打印本頁]

作者: wolf2602 時(shí)間: 2003-02-19 14:34
標(biāo)題: cisco路由器上的幾種安全防御措施
轉(zhuǎn)自網(wǎng)易，作者joy123(柳絮隨風(fēng))

現(xiàn)在Internet上基于網(wǎng)絡(luò)層上的黑客攻擊越來越普遍，成為網(wǎng)絡(luò)安全的一大隱患。其實(shí)，路由器對(duì)于這種攻擊也并非完全無能為力，這里就簡(jiǎn)單介紹幾種在Cisco路由器上所能實(shí)現(xiàn)的防御手段：

1．對(duì)于D.O.S Attack的防范
D.O.S攻擊（Deny Of Service）基于TCP協(xié)議上三次握手機(jī)制進(jìn)行的攻擊手段。TCP協(xié)議是面向用戶的可靠傳輸協(xié)議，即：在實(shí)際傳輸數(shù)據(jù)之前，先由發(fā)起方（用戶）發(fā)出一個(gè)請(qǐng)求，接受方（服務(wù)器）接到這個(gè)請(qǐng)求之后，向發(fā)起方發(fā)出一個(gè)確認(rèn)請(qǐng)求，收到發(fā)起方進(jìn)一步確認(rèn)之后，才開始實(shí)際的數(shù)據(jù)傳輸。D.O.S Attack根據(jù)這一機(jī)制，由黑客通過軟件的方法修改自己的源IP地址，向某一服務(wù)器發(fā)出請(qǐng)求。當(dāng)服務(wù)器向該IP地址發(fā)出確認(rèn)請(qǐng)求之后，由于這個(gè)地址是假冒的，所以永遠(yuǎn)都得不到第三次的請(qǐng)求確認(rèn)，于是這個(gè)中斷就被掛起。當(dāng)黑客在短時(shí)間內(nèi)發(fā)起成千上萬個(gè)這樣的請(qǐng)求之后，所有網(wǎng)絡(luò)資源很快就會(huì)被耗盡。同時(shí)，所有正常的服務(wù)請(qǐng)求也沒有資源可以做出應(yīng)答，造成網(wǎng)絡(luò)癱瘓。
在Cisco路由器上，通過幾種方式進(jìn)行偵測(cè)、避免：
一、啟用service tcp-keepalive-in和schedule process-watchdog terminate。目的是：建立看門狗進(jìn)程，檢查已建立的tcp連接，如果發(fā)生不激活或者長(zhǎng)時(shí)間掛起的情況，中斷這樣的連接。
二、當(dāng)發(fā)現(xiàn)路由器上已經(jīng)發(fā)生異常情況以后，no ip source-route，關(guān)閉對(duì)于源ip地址的路由檢查，避免不必要的資源占用。（請(qǐng)注意，如果在正常情況下，就關(guān)閉源路由跟蹤的話，容易受到IP電子欺詐。）同時(shí)，開啟schedule interval xxx（毫秒）。這樣就可以硬性指定，為同一個(gè)端口中斷提供服務(wù)時(shí)必須間隔一段時(shí)間。保證在這個(gè)間隔內(nèi)可以為其他請(qǐng)求提供服務(wù)，使網(wǎng)絡(luò)不至于完全癱瘓。

2．反IP地址欺騙
很多網(wǎng)絡(luò)攻擊依賴于攻擊者偽造或者“欺騙”IP數(shù)據(jù)包的源地址。如果能夠在任何可行的地方組織欺騙是有很價(jià)值的。這里可以考慮使用訪問控制列表的方法，做法有很多種，但是目的是簡(jiǎn)單的，丟棄那些明顯不屬于這個(gè)接口來源的IP數(shù)據(jù)包。還有一種可能更加有效的方法，就是用RPF檢查。前提是必須是路由對(duì)稱的情況下（就是A-B的路徑必須也是B-A的路徑），而且必須支持CEF轉(zhuǎn)發(fā)以及相對(duì)應(yīng)的IOS版本支持。它是通過ip verify unicast rpf來啟用的，但是之前必須先啟用ip cef。

3．關(guān)閉廣域網(wǎng)上一些不必要的服務(wù)
在Cisco路由器上，有很多服務(wù)廣域網(wǎng)上根本不必要，但是仍然默認(rèn)開啟，反而造成了安全漏洞，給黑客以可乘之機(jī)。所以建議予以手工關(guān)閉。
例如：利用訪問控制列表（acl）只開啟實(shí)際使用的tcp、udp端口。同時(shí)，執(zhí)行no service tcp-small-servers, no service udp-small-servers。這些tcp、udp協(xié)議上小服務(wù)，平時(shí)不常使用，但是這些端口容易被人利用，所以應(yīng)該關(guān)閉。 No ip finger，finger協(xié)議主要在unix下使用，類似于Cisco IOS中的show user，如果開啟容易被黑客看到連接用戶，進(jìn)一步猜測(cè)弱密碼，進(jìn)行合法登陸。如果需要防范密碼猜測(cè)的風(fēng)險(xiǎn)，在路由器上就應(yīng)該首先把這個(gè)服務(wù)關(guān)閉。
在撥號(hào)線路上，一般都采用transport input none，關(guān)閉諸如telnet、rlogin等易受攻擊的后臺(tái)程序。

4．No ip direct-broadcast
Ping of death攻擊據(jù)說最早源于俄羅斯，就是通過許多用戶同時(shí)對(duì)同一目的進(jìn)行ping，造成flood攻擊的效果。但是在實(shí)戰(zhàn)上效果并不明顯。因?yàn)樵趂lood的同時(shí)，攻擊方也必須付出同樣的資源。因此，有人對(duì)這種攻擊手段進(jìn)行了優(yōu)化。攻擊的目的端從某一特定的ip地址，轉(zhuǎn)換成了類如192.10.6.255這樣一個(gè)網(wǎng)段廣播地址。使這個(gè)網(wǎng)段內(nèi)所有的機(jī)器都對(duì)這樣的請(qǐng)求做出應(yīng)答，從而達(dá)到事半功倍的效果。
對(duì)應(yīng)手段為：在路由器廣域網(wǎng)接口no ip direct-broadcast，這樣除了隔離255.255.255.255的全廣播以外，對(duì)于類似192.10.6.255網(wǎng)段廣播地址也予以隔離，可以大大減少了被flood攻擊的風(fēng)險(xiǎn)，也能減少主干線路上不必要的流量�；蛘撸谕瓿删W(wǎng)絡(luò)上的連通性測(cè)試（ping測(cè)試）之后，利用訪問控制列表，關(guān)閉ICMP協(xié)議中的echo和echo reply。

當(dāng)然，路由器畢竟不是專門的網(wǎng)絡(luò)安全設(shè)備，它所能做的也僅僅能夠減少一些基于網(wǎng)絡(luò)層上的攻擊所帶來的負(fù)面影響，但絕不能完全免疫。而且，在實(shí)現(xiàn)上述功能的同時(shí)，也是以犧牲部分CPU與內(nèi)存資源為代價(jià)的。此外，它對(duì)于一些諸如登陸攻擊、所有基于應(yīng)用層上的攻擊手段等則完全無能為力。如果發(fā)生這樣的問題，還是必須要借助防火墻等專門的安全設(shè)備和在系統(tǒng)上進(jìn)行嚴(yán)格設(shè)置等手段配合進(jìn)行。

作者: zujuhu 時(shí)間: 2003-02-19 19:37
標(biāo)題: cisco路由器上的幾種安全防御措施
俺又長(zhǎng)見識(shí)了

作者: 在線網(wǎng)絡(luò) 時(shí)間: 2003-02-19 19:43
標(biāo)題: cisco路由器上的幾種安全防御措施
俺也長(zhǎng)見識(shí)了不過有些東西看得不大懂以后希望各位大蝦多多關(guān)照：）

作者: 稻草人2003 時(shí)間: 2003-02-20 10:29
標(biāo)題: cisco路由器上的幾種安全防御措施
schedule process-watchdog terminate
怎么在2621上沒有這條命令具體在什么情況下用

歡迎光臨 Chinaunix (http://www.72891.cn/)