你可能還沒有認識到使用針對Telnet、SSH或者HTTP端口的字典式拒絕服務的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實上，我敢打賭，即便是大多數(shù)網(wǎng)絡管理員沒有全部打開這些端口，那么他至少也會打開其中一個端口用于路由器的管理。

　　針對路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權 或者可能導致用戶無法使用路由器。在本文中，你可以找到如何使用Cisco 網(wǎng)絡操作系統(tǒng)的增強登陸功能來防止這種攻擊。

　　當然，在公網(wǎng)中開放這些端口要比在私網(wǎng)中開放這些端口危險的多。但是，無論是對公網(wǎng)開放還是對私網(wǎng)開放這些端口，你都需要保護你的路由器防止它們受到字典DoS攻擊，通過這種攻擊，攻擊者可能獲得路由器的訪問權或者在你的網(wǎng)絡中創(chuàng)建一個簡單的服務出口。

　　不過由于在網(wǎng)絡操作系統(tǒng) 12.3(4)T以及以后的版本中都有了增強的登陸功能，因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優(yōu)勢：

　　在發(fā)現(xiàn)連續(xù)登陸嘗試后，創(chuàng)建一個登陸延遲。

　　如果出現(xiàn)太多的登陸嘗試失敗的話，將不再允許登陸。

　　在系統(tǒng)日志中創(chuàng)建相應的登陸信息或者發(fā)送SNMP陷阱來警告和記錄有關失敗和不允許登陸的額外信息。

　　如何知道你的路由器中是否包含這些代碼?最簡單的查找方法是到"全局配置模式(Global Configuration Mode)并且輸入"login(登陸)""，這個命令將返回一個選擇列表，具體顯示如下：

　　block-for--用于設置安靜模式活動時間周期。

　　delay--用于設置連續(xù)失敗登陸的時間間隔。

　　on-failure--用于設置試圖登陸失敗后的選項。

　　on-sucess--用于設置試圖登陸成功后的選項。

　　quiet-mode--用于設置安靜模式的選項。

　　如果你的路由器中的網(wǎng)絡操作系統(tǒng)中沒有這個代碼，它將返回一個"無法識別的命令"錯誤。

　　如果你的路由器中沒有這個功能，那么使用Cisco 網(wǎng)絡操作系統(tǒng)的特征導航來為你的路由器找到這個功能(參照Cisco 網(wǎng)絡操作系統(tǒng)增強登陸功能)你還可以使用這個工具來查找你所需要的其他功能。記住，下載網(wǎng)絡操作系統(tǒng)代碼和訪問特征導航工具需要Cisco的維護合同。

　　用于配置這些功能的最基本的基表的命令是login block-for命令，這也是唯一的命令。一旦你激活了這個命令，其缺省的登陸延遲時間是一秒。在你指定的時間內(nèi)，如果試圖登陸的最大次數(shù)超過你所給定的次數(shù)的話，系統(tǒng)將拒絕所有的登陸嘗試。

　　在全局配置模式下，執(zhí)行下面的命令：

　　login block-for (在多長時間內(nèi)拒絕所有的登陸嘗試)

　　attempts (如果登陸的次數(shù)超過此數(shù))within (在多少秒以內(nèi))

　　下面給出一個例子

　　login block-for 120 attempts 5 within 60

　　該命令對系統(tǒng)進行如下配置：如果在60秒以內(nèi)有五次登陸失敗的話，路由器系統(tǒng)將在120秒以內(nèi)拒絕所有的登陸。如果此時你輸入show login的話，你將接收到以下輸出信息：

　　缺省情況下登陸延遲時間是一秒鐘。

　　沒有配置安靜模式訪問列表。

　　路由器激活了登陸攻擊監(jiān)控程序。

　　如果在60秒左右的時間內(nèi)有五次登陸失敗的話，

　　系統(tǒng)將禁用登陸操作120秒。

　　路由器目前處于正常模式。

　　目前的監(jiān)控窗口還有54秒鐘。

　　目前的登陸失敗次數(shù)為0。

　　這些信息顯示了你的設置，包括缺省的登陸延遲時間為一秒鐘，以及其他的附加信息。它還告訴你目前路由器處于正常模式，這意味著路由器目前還允許你登陸。

　　如果路由器認為有人對其進行攻擊，它將進入安靜模式，并且開始拒絕所有的登陸操作。你還可以配置一個ACL，在其中說明這個路由器對哪些主機和網(wǎng)絡例外，無論是處于安靜模式還是處于其他狀態(tài)，都允許這些主機和網(wǎng)絡登陸路由器。

　　下面是這些命令中用于配置系統(tǒng)的一些選項：

　　登陸延遲(數(shù)字)： 在失效登陸后增加延遲的秒數(shù)。你可以選擇1到10之間的任何數(shù)字。

　　登陸失敗和登陸成功：這些選項允許你選擇在登陸成功或者失敗時使用的日志和SNMP警告的類型。

　　登陸安靜模式訪問類(ACL數(shù)字)：增加ACL數(shù)字，使用這個選項可以增加一個隔絕列表，無論路由器處于安靜模式還是處于正常模式，這個列表中的主機和網(wǎng)絡都可以登陸路由器。

　　通常情況下，為了安全，我建議在所有的路由器上都激活login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。

　　如果你正好從事這方面的工作，并且你還沒有做好準備的話，那么可以考慮只在路由器上使用SSH并且只允許從內(nèi)網(wǎng)訪問。SSH加密所有從PC到路由器的通信信息(包括用戶名和密碼)。

　　要想得到這些新特征的全部命令的參考信息，請登陸到Cisco IOS Login Enhancements Documentation 。