192.168.1.1-路由器设置 > 无线路由器设置 > 路由器限速设置 >

防止DoS 路由器来把关

文章摘要

服务(DoS)是目前黑客广泛使用的一种手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。本文主要向大家介绍了几种利用路由器防御DOS的方法,以防此类给我们造成不便。 DoS主要分为Smurf、SYNFlood和Fraggle三种,在Smurf中,者使用ICMP数请看如下

 

  服务(DoS)是目前黑客广泛使用的一种手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。本文主要向大家介绍了几种利用路由器防御DOS的方法,以防此类给我们造成不便。

  DoS主要分为Smurf、SYNFlood和Fraggle三种,在Smurf中,者使用ICMP数据包阻塞服务器和其他网络资源;SYNFlood使用数量巨大的TCP半连接来占用网络资源;Fraggle与Smurf原理类似,使用UDPecho请求而不是ICMPecho请求发起。

  尽管网络安全专家都在着力开发DoS的设备,但收效不大,因为DoS利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS。以Cisco路由器为例,Cisco路由器中的IOS软件具有许多防止DoS的特性,路由器自身和内部网络的安全。

  使用扩展访问列表

  扩展访问列表是防止DoS的有效工具。它既可以用来探测DoS的类型,也可以DoS。ShowIPaccess-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYNFlood,这时用户就可以改变访问列表的配置,DoS。

  使用QoS

  使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效DoS。需要注意的是,不同的QoS策略对付不同DoS的效果是有差别的。例如,WFQ对付PingFlood要比防止SYNFlood更有效,这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列,而SYNFlood中的每一个数据包都会表现为一个单独的数据流。

  此外,人们可以利用CAR来ICMP数据包流量的速度,防止Smurf,也可以用来SYN数据包的流量速度,防止SYNFlood。使用QoS防止DoS,需要用户弄清楚QoS以及DoS的原理,这样才能针对DoS的不同类型采取相应的防范措施。

  使用单一地址逆向转发

  逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够Smurf和其他基于IP地址伪装的。

  使用RPF功能需要将路由器设为快速转发模式(CEFswitching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作较少;第三RPF作为一个反的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。

  使用TCP拦截

  查看路由器ipCisco在IOS11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYNFlood内部主机。在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来这种。TCP拦截可以在拦截和两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。

  在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时,以防止自身的资源被SYN耗尽。在模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。

  在Cisco路由器上TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要的IP地址;二是TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。

  使用基于内容的访问控制

  基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS。CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。

  CBAC正是通过半连接的数量和产生的频率来防止洪水。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的和删除,CBAC可以有效防止SYNFlood和Fraggle。

  路由器是企业内部网络的第一道防护屏障,也是黑客的一个重要目标,如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种DoS常必要的。

  用户需要注意的是,以上介绍的几种方法,对付不同类型的DoS的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际中,用户需要根据自身情况和路由器的性能来选择使用适当的方式。

  配置命令:

  1)定义一个acl,目的是要的机器:

  access-list101pertcpanyhost202.106.0.20

  由于没必要匹配源地址,一般的dos都伴随着地址,所以这里的source都是any.

  2)全局下tcpintercept.

  iptcpinterceptlist101

  3)设置tcp拦截的模式,tcp拦截有两种模式一种是拦截,一种是。拦截模式像是一个找茬的,看谁都不爽,见谁都打。模式是一个稍微一点的,仅仅当别人在他口那片空地赌着不走的时候才(默认是30秒)。见谁都打,肯定累啊。我们要一点。

  iptcpinterceptmodewatch

  iptcpinterceptwatch-timeout20

  4)另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间,默认24小时,一般网中特殊服务的需要长连接的应用时候30分钟足咦

  iptcpinterceptconnection-timeout1800

  5)对于最大半开连接的门限也是可以更改的。默认low900,high1100.

  iptcpinterceptmax-incompletelow800

  iptcpinterceptmax-incompletehigh1000

  • 共2页:
  • 上一页
  • 1
  • 2
  • 下一页
  • 分享到:

    tags:查看路由器ip

    最近更新-关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明
    CopyRight2009-2011 All Rights Reserved 192.168.1.1 路由器设置jmqy.com