- 論壇徽章:
- 0
|
轉(zhuǎn)自網(wǎng)易���,作者joy123(柳絮隨風(fēng))
現(xiàn)在Internet上基于網(wǎng)絡(luò)層上的黑客攻擊越來越普遍�����,成為網(wǎng)絡(luò)安全的一大隱患��。其實(shí)��,路由器對于這種攻擊也并非完全無能為力��,這里就簡單介紹幾種在Cisco路由器上所能實(shí)現(xiàn)的防御手段:
1.對于D.O.S Attack的防范
D.O.S攻擊(Deny Of Service)基于TCP協(xié)議上三次握手機(jī)制進(jìn)行的攻擊手段�。TCP協(xié)議是面向用戶的可靠傳輸協(xié)議����,即:在實(shí)際傳輸數(shù)據(jù)之前,先由發(fā)起方(用戶)發(fā)出一個請求����,接受方(服務(wù)器)接到這個請求之后,向發(fā)起方發(fā)出一個確認(rèn)請求���,收到發(fā)起方進(jìn)一步確認(rèn)之后�����,才開始實(shí)際的數(shù)據(jù)傳輸���。D.O.S Attack根據(jù)這一機(jī)制,由黑客通過軟件的方法修改自己的源IP地址��,向某一服務(wù)器發(fā)出請求�。當(dāng)服務(wù)器向該IP地址發(fā)出確認(rèn)請求之后����,由于這個地址是假冒的��,所以永遠(yuǎn)都得不到第三次的請求確認(rèn)�����,于是這個中斷就被掛起����。當(dāng)黑客在短時間內(nèi)發(fā)起成千上萬個這樣的請求之后,所有網(wǎng)絡(luò)資源很快就會被耗盡���。同時��,所有正常的服務(wù)請求也沒有資源可以做出應(yīng)答�,造成網(wǎng)絡(luò)癱瘓�。
在Cisco路由器上,通過幾種方式進(jìn)行偵測�、避免:
一、啟用service tcp-keepalive-in和schedule process-watchdog terminate�����。目的是:建立看門狗進(jìn)程,檢查已建立的tcp連接�����,如果發(fā)生不激活或者長時間掛起的情況�,中斷這樣的連接�����。
二�����、當(dāng)發(fā)現(xiàn)路由器上已經(jīng)發(fā)生異常情況以后�,no ip source-route,關(guān)閉對于源ip地址的路由檢查��,避免不必要的資源占用���。(請注意�����,如果在正常情況下����,就關(guān)閉源路由跟蹤的話,容易受到IP電子欺詐����。)同時,開啟schedule interval xxx(毫秒)����。這樣就可以硬性指定,為同一個端口中斷提供服務(wù)時必須間隔一段時間�。保證在這個間隔內(nèi)可以為其他請求提供服務(wù),使網(wǎng)絡(luò)不至于完全癱瘓��。
2.反IP地址欺騙
很多網(wǎng)絡(luò)攻擊依賴于攻擊者偽造或者“欺騙”IP數(shù)據(jù)包的源地址��。如果能夠在任何可行的地方組織欺騙是有很價值的���。這里可以考慮使用訪問控制列表的方法�,做法有很多種���,但是目的是簡單的�����,丟棄那些明顯不屬于這個接口來源的IP數(shù)據(jù)包�。還有一種可能更加有效的方法,就是用RPF檢查����。前提是必須是路由對稱的情況下(就是A-B的路徑必須也是B-A的路徑),而且必須支持CEF轉(zhuǎn)發(fā)以及相對應(yīng)的IOS版本支持����。它是通過ip verify unicast rpf來啟用的��,但是之前必須先啟用ip cef��。
3.關(guān)閉廣域網(wǎng)上一些不必要的服務(wù)
在Cisco路由器上����,有很多服務(wù)廣域網(wǎng)上根本不必要,但是仍然默認(rèn)開啟�����,反而造成了安全漏洞�,給黑客以可乘之機(jī)。所以建議予以手工關(guān)閉����。
例如:利用訪問控制列表(acl)只開啟實(shí)際使用的tcp���、udp端口。同時�,執(zhí)行no service tcp-small-servers, no service udp-small-servers。這些tcp�����、udp協(xié)議上小服務(wù)�����,平時不常使用��,但是這些端口容易被人利用�����,所以應(yīng)該關(guān)閉�。 No ip finger,finger協(xié)議主要在unix下使用�����,類似于Cisco IOS中的show user,如果開啟容易被黑客看到連接用戶���,進(jìn)一步猜測弱密碼��,進(jìn)行合法登陸�����。如果需要防范密碼猜測的風(fēng)險���,在路由器上就應(yīng)該首先把這個服務(wù)關(guān)閉。
在撥號線路上�����,一般都采用transport input none�����,關(guān)閉諸如telnet���、rlogin等易受攻擊的后臺程序。
4.No ip direct-broadcast
Ping of death攻擊據(jù)說最早源于俄羅斯,就是通過許多用戶同時對同一目的進(jìn)行ping���,造成flood攻擊的效果��。但是在實(shí)戰(zhàn)上效果并不明顯�����。因?yàn)樵趂lood的同時����,攻擊方也必須付出同樣的資源���。因此�,有人對這種攻擊手段進(jìn)行了優(yōu)化�。攻擊的目的端從某一特定的ip地址,轉(zhuǎn)換成了類如192.10.6.255這樣一個網(wǎng)段廣播地址�����。使這個網(wǎng)段內(nèi)所有的機(jī)器都對這樣的請求做出應(yīng)答�,從而達(dá)到事半功倍的效果。
對應(yīng)手段為:在路由器廣域網(wǎng)接口no ip direct-broadcast���,這樣除了隔離255.255.255.255的全廣播以外����,對于類似192.10.6.255網(wǎng)段廣播地址也予以隔離,可以大大減少了被flood攻擊的風(fēng)險����,也能減少主干線路上不必要的流量����;蛘撸谕瓿删W(wǎng)絡(luò)上的連通性測試(ping測試)之后���,利用訪問控制列表��,關(guān)閉ICMP協(xié)議中的echo和echo reply����。
當(dāng)然��,路由器畢竟不是專門的網(wǎng)絡(luò)安全設(shè)備����,它所能做的也僅僅能夠減少一些基于網(wǎng)絡(luò)層上的攻擊所帶來的負(fù)面影響,但絕不能完全免疫��。而且����,在實(shí)現(xiàn)上述功能的同時,也是以犧牲部分CPU與內(nèi)存資源為代價的��。此外�����,它對于一些諸如登陸攻擊��、所有基于應(yīng)用層上的攻擊手段等則完全無能為力��。如果發(fā)生這樣的問題�,還是必須要借助防火墻等專門的安全設(shè)備和在系統(tǒng)上進(jìn)行嚴(yán)格設(shè)置等手段配合進(jìn)行。 |
|
免費(fèi)注冊
發(fā)表于 2003-02-19 14:34
