| 首页 | | 页界资讯 | | 网络应用 | | 软件应用 | | 组网技术 | | 网络原理 | | 聊天通讯 | | 网管知识 | | 帮助 | |
| 笑话 | | 操作系统 | | 注 册 表 | | 编程开发 | | 数 据 库 | | 媒体动画 | | 网页设计 | | 图形图象 | | 地图 | |
| 论坛 | | 网络安全 | | 安全防范 | | 服 务 器 | | 硬件学堂 | | 路由技术 | | 搜索研究 | | 站长经验 | | 投稿 | |
| 影院 | | 教育频道 | | 特色专题 | | 精文荟萃 | | 注 册 码 | | 论坛社区 | | 网站地图 | | 广告服务 | | 旧版 | |
 设为首页  加入收藏 |
| 论坛登陆 注册 | 教程 笑话 影视 投稿 |
|
|
||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||
 当前位置:首页>>文章>>路由技术>>路由配置>>正文 |
cisco路由器上的几种安全防御措施 |
|
| www.xker.com 作者: 来源:网络转载 加入日期:2006-2-20 8:21:41 | |
1.对于D.O.S Attack的防范 D.O.S攻击(Deny Of Service)基于TCP协议上三次握手机制进行的攻击手段。TCP协议是面向用户的可靠传输协议,即:在实际传输数据之前,先由发起方(用户)发出一个请求,接受方(服务器)接到这个请求之后,向发起方发出一个确认请求,收到发起方进一步确认之后,才开始实际的数据传输。D.O.S Attack根据这一机制,由黑客通过软件的方法修改自己的源IP地址,向某一服务器发出请求。当服务器向该IP地址发出确认请求之后,由于这个地址是假冒的,所以永远都得不到第三次的请求确认,于是这个中断就被挂起。当黑客在短时间内发起成千上万个这样的请求之后,所有网络资源很快就会被耗尽。同时,所有正常的服务请求也没有资源可以做出应答,造成网络瘫痪。 在Cisco路由器上,通过几种方式进行侦测、避免: 一、启用service tcp-keepalive-in和schedule process-watchdog terminate。目的是:建立看门狗进程,检查已建立的tcp连接,如果发生不激活或者长时间挂起的情况,中断这样的连接。 二、当发现路由器上已经发生异常情况以后,no ip source-route,关闭对于源ip地址的路由检查,避免不必要的资源占用。(请注意,如果在正常情况下,就关闭源路由跟踪的话,容易受到IP电子欺诈。)同时,开启schedule interval xxx(毫秒)。这样就可以硬性指定,为同一个端口中断提供服务时必须间隔一段时间。保证在这个间隔内可以为其他请求提供服务,使网络不至于完全瘫痪。 2.反IP地址欺骗 很多网络攻击依赖于攻击者伪造或者“欺骗”IP数据包的源地址。如果能够在任何可行的地方组织欺骗是有很价值的。这里可以考虑使用访问控制列表的方法,做法有很多种,但是目的是简单的,丢弃那些明显不属于这个接口来源的IP数据包。还有一种可能更加有效的方法,就是用RPF检查。前提是必须是路由对称的情况下(就是A-B的路径必须也是B-A的路径),而且必须支持CEF转发以及相对应的IOS版本支持。它是通过ip verify unicast rpf来启用的,但是之前必须先启用ip cef。 3.关闭广域网上一些不必要的服务 在Cisco路由器上,有很多服务广域网上根本不必要,但是仍然默认开启,反而造成了安全漏洞,给黑客以可乘之机。所以建议予以手工关闭。 例如:利用访问控制列表(acl)只开启实际使用的tcp、udp端口。同时,执行no service tcp-small-servers, no service udp-small-servers。这些tcp、udp协议上小服务,平时不常使用,但是这些端口容易被人利用,所以应该关闭。 No ip finger,finger协议主要在unix下使用,类似于Cisco IOS中的show user,如果开启容易被黑客看到连接用户,进一步猜测弱密码,进行合法登陆。如果需要防范密码猜测的风险,在路由器上就应该首先把这个服务关闭。 在拨号线路上,一般都采用transport input none,关闭诸如telnet、rlogin等易受攻击的后台程序。 4.No ip direct-broadcast Ping of death攻击据说最早源于俄罗斯,就是通过许多用户同时对同一目的进行ping,造成flood攻击的效果。但是在实战上效果并不明显。因为在flood的同时,攻击方也必须付出同样的资源。因此,有人对这种攻击手段进行了优化。攻击的目的端从某一特定的ip地址,转换成了类如192.10.6.255这样一个网段广播地址。使这个网段内所有的机器都对这样的请求做出应答,从而达到事半功倍的效果。 本新闻共2页,当前在第1页 1 2 编辑:xker.com上一篇:IP网络路由器设备安全与设备测试 下一篇:没有了 |
||
| 【关闭窗口】【浏览次数:】【收藏此页】 |
|
| 评论 | |
设为首页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |
| Copyright © 2003-2006 xker.com All rights reserved. 网站合作、广告联系QQ:12231446 |
| 小新技术网 冀ICP备05002857号 |