六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器知識(shí)大全 > 怎樣使用路由器防止DoS攻擊

怎樣使用路由器防止DoS攻擊

時(shí)間: 若木635 分享

怎樣使用路由器防止DoS攻擊

  歡迎大家來(lái)到學(xué)習(xí)啦,本文為大家講解怎樣使用路由器防止DoS攻擊,歡迎大家閱讀借鑒。

  拒絕服務(wù)(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段,它通過(guò)獨(dú)占網(wǎng)絡(luò)資源、使其他主機(jī)不 能進(jìn)行正常訪問(wèn),從而導(dǎo)致宕機(jī)或網(wǎng)絡(luò)癱瘓。

  DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種,在Smurf攻擊中,攻擊者使用ICMP數(shù)據(jù)包阻塞服務(wù)器和其他網(wǎng)絡(luò)資源;SYN Flood攻擊使用數(shù)量巨大的TCP半連接來(lái)占用網(wǎng)絡(luò)資源;Fraggle攻擊與Smurf攻擊原理類似,使用UDP echo請(qǐng)求而不是ICMP echo請(qǐng)求發(fā)起攻擊。

  盡管網(wǎng)絡(luò)安全專家都在著力開(kāi)發(fā)阻止DoS攻擊的設(shè)備,但收效不大,因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例,Cisco路由器中的IOS軟件具有許多防止DoS攻擊的特性,保護(hù)路由器自身和內(nèi)部網(wǎng)絡(luò)的安全。

  使用擴(kuò)展訪問(wèn)列表

  擴(kuò)展訪問(wèn)列表是防止DoS攻擊的有效工具。它既可以用來(lái)探測(cè)DoS攻擊的類型,也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個(gè)擴(kuò)展訪問(wèn)列表的匹配數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的類型,用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請(qǐng)求,這表明網(wǎng)絡(luò)受到了SYN Flood攻擊,這時(shí)用戶就可以改變?cè)L問(wèn)列表的配置,阻止DoS攻擊。

  使用QoS

  使用服務(wù)質(zhì)量?jī)?yōu)化(QoS)特征,如加權(quán)公平隊(duì)列(WFQ)、承諾訪問(wèn)速率(CAR)、一般流量整形(GTS)以及定制隊(duì)列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對(duì)付不同DoS攻擊的效果是有差別的。例如,WFQ對(duì)付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因?yàn)镻ing Flood通常會(huì)在WFQ中表現(xiàn)為一個(gè)單獨(dú)的傳輸隊(duì)列,而SYN Flood攻擊中的每一個(gè)數(shù)據(jù)包都會(huì)表現(xiàn)為一個(gè)單獨(dú)的數(shù)據(jù)流。此外,人們可以利用CAR來(lái)限制ICMP數(shù)據(jù)包流量的速度,防止Smurf攻擊,也可以用來(lái)限制SYN數(shù)據(jù)包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對(duì)DoS攻擊的不同類型采取相應(yīng)的防范措施。

  使用單一地址逆向轉(zhuǎn)發(fā)

  逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個(gè)輸入功能,該功能用來(lái)檢查路由器接口所接收的每一個(gè)數(shù)據(jù)包。如果路由器接收到一個(gè)源IP地址為10.10.10.1的數(shù)據(jù)包,但是CEF(Cisco Express Forwarding)路由表中沒(méi)有為該IP地址提供任何路由信息,路由器就會(huì)丟棄該數(shù)據(jù)包,因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。

  使用RPF功能需要將路由器設(shè)為快速轉(zhuǎn)發(fā)模式(CEF switching),并且不能將啟用RPF功能的接口配置為CEF交換。RPF在防止IP地址欺騙方面比訪問(wèn)列表具有優(yōu)勢(shì),首先它能動(dòng)態(tài)地接受動(dòng)態(tài)和靜態(tài)路由表中的變化;第二RPF所需要的操作維護(hù)較少;第三RPF作為一個(gè)反欺騙的工具,對(duì)路由器本身產(chǎn)生的性能沖擊,要比使用訪問(wèn)列表小得多。

  使用TCP攔截

  Cisco在IOS 11.3版以后,引入了TCP攔截功能,這項(xiàng)功能可以有效防止SYN Flood攻擊內(nèi)部主機(jī)。

  在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前,TCP攔截通過(guò)攔截和驗(yàn)證來(lái)阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下,路由器攔截到達(dá)的TCP同步請(qǐng)求,并代表服務(wù)器建立與客戶機(jī)的連接,如果連接成功,則代表客戶機(jī)建立與服務(wù)器的連接,并將兩個(gè)連接進(jìn)行透明合并。在整個(gè)連接期間,路由器會(huì)一直攔截和發(fā)送數(shù)據(jù)包。對(duì)于非法的連接請(qǐng)求,路由器提供更為嚴(yán)格的對(duì)于half-open的超時(shí)限制,以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下,路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求,如果連接超過(guò)了所配置的建立時(shí)間,路由器就會(huì)關(guān)閉此連接。

  在Cisco路由器上開(kāi)啟TCP攔截功能需要兩個(gè)步驟:一是配置擴(kuò)展訪問(wèn)列表,以確定需要保護(hù)的IP地址;二是開(kāi)啟TCP攔截。配置訪問(wèn)列表是為了定義需要進(jìn)行TCP攔截的源地址和目的地址,保護(hù)內(nèi)部目標(biāo)主機(jī)或網(wǎng)絡(luò)。在配置時(shí),用戶通常需要將源地址設(shè)為any,并且指定具體的目標(biāo)網(wǎng)絡(luò)或主機(jī)。如果不配置訪問(wèn)列表,路由器將會(huì)允許所有的請(qǐng)求經(jīng)過(guò)。

  使用基于內(nèi)容的訪問(wèn)控制

  基于內(nèi)容的訪問(wèn)控制(CBAC)是對(duì)Cisco傳統(tǒng)訪問(wèn)列表的擴(kuò)展,它基于應(yīng)用層會(huì)話信息,智能化地過(guò)濾TCP和UDP數(shù)據(jù)包,防止DoS攻擊。

  CBAC通過(guò)設(shè)置超時(shí)時(shí)限值和會(huì)話門限值來(lái)決定會(huì)話的維持時(shí)間以及何時(shí)刪除半連接。對(duì)TCP而言,半連接是指一個(gè)沒(méi)有完成三階段握手過(guò)程的會(huì)話。對(duì)UDP而言,半連接是指路由器沒(méi)有檢測(cè)到返回流量的會(huì)話。

  CBAC正是通過(guò)監(jiān)視半連接的數(shù)量和產(chǎn)生的頻率來(lái)防止洪水攻擊。每當(dāng)有不正常的半連接建立或者在短時(shí)間內(nèi)出現(xiàn)大量半連接的時(shí)候,用戶可以判斷是遭受了洪水攻擊。CBAC每分鐘檢測(cè)一次已經(jīng)存在的半連接數(shù)量和試圖建立連接的頻率,當(dāng)已經(jīng)存在的半連接數(shù)量超過(guò)了門限值,路由器就會(huì)刪除一些半連接,以保證新建立連接的需求,路由器持續(xù)刪除半連接,直到存在的半連接數(shù)量低于另一個(gè)門限值;同樣,當(dāng)試圖建立連接的頻率超過(guò)門限值,路由器就會(huì)采取相同的措施,刪除一部分連接請(qǐng)求,并持續(xù)到請(qǐng)求連接的數(shù)量低于另一個(gè)門限值。通過(guò)這種連續(xù)不斷的監(jiān)視和刪除,CBAC可以有效防止SYN Flood和Fraggle攻擊。

  路由器是企業(yè)內(nèi)部網(wǎng)絡(luò)的第一道防護(hù)屏障,也是黑客攻擊的一個(gè)重要目標(biāo),如果路由器很容易被攻破,那么企業(yè)內(nèi)部網(wǎng)絡(luò)的安全也就無(wú)從談起,因此在路由器上采取適當(dāng)措施,防止各種DoS攻擊是非常必要的。用戶需要注意的是,以上介紹的幾種方法,對(duì)付不同類型的DoS攻擊的能力是不同的,對(duì)路由器CPU和內(nèi)存資源的占用也有很大差別,在實(shí)際環(huán)境中,用戶需要根據(jù)自身情況和路由器的性能來(lái)選擇使用適當(dāng)?shù)姆绞健?/p>

134728