路由器防御Dos***方法
2024-05-20 06:47:02
Dos***的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。因此,要防御dos***,就必须从这些***的特征入手,分析其特征,制定合适的策略和方法。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
DoS (Denial of Service)***就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
Dos***的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。因此,要防御dos***,就必须从这些***的特征入手,分析其特征,制定合适的策略和方法。
Smurf***的特征描述
Smurf***是根据它的***程序命名的,是一种ICMP echo flooding***。
在这样的***中,ping包中包含的欺骗源地址指向的主机是最终的受害者,也是主要的受害者;而路由器连接的广播网段成为了***的帮凶(类似一个放大器,使网络流量迅速增大),也是受害者。
防御Smurf***的方法
根据Smurf***的特征,可以从两个方面入手来防御Smurf的***:一是防止自己的网络成为***的帮凶即第一受害者 ;二是从最终受害者的角度来防御Smurf***。下面就从这两个方面来讨论防御的的测路和方法。
-------------------------------分页栏-------------------------------
一、拒绝成为***的帮凶
Smurf要利用一个网络作为“流量放大器”,该网络必定具备以下特征:
1、路由器允许有IP源地址欺骗的数据包通过 ;
2、路由器将定向广播(发送到广播地址的数据包)转换成为第二层(MAC层)的广播并向连接网段广播 ;
3、广播网络上的主机允许对ping广播作出回应 ;
4、路由器对主机回应的ping数据流量未做限制 ;
所以,可以根据以上四点来重新规划网络,以使自己的网络不具备会成为“流量放大器”的条件 。
防止IP源地址欺骗
IP源地址欺骗可以应用在多种不同的***方式中,例如:TCP SYN flooding、UDP flooding、ICMP flooding等。
伪造的源地址可以是不存在(不允许在公网上发布)的地址,或者是最终***目标的地址。
在UDP flooding中,***者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。
注意:为了防御UDP flooding,我们必须防止路由器的诊断端口或服务向管理域之外的区域开放,如果不需要使用这些端口或者服务,应该将其关闭。
防止IP源地址欺骗的最有效方法就是验证源地址的真实性,在Cisco路由器上,我们可以采用下列两种方法:
a、在网络边界实施对IP源地址欺骗的过滤
阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器使用向内的访问列表,限制下游网络发进来的数据包确实是在允许接受的地址范围,不在允许范围的数据将被删除。同时,为了追溯***者,可以使用log记录被删除的数据信息 。
b、使用反向地址发送
使用访问控制列表在下游入口处做ip限制,是基于下游ip地址段的确定性 。但在上游入口处,流入数据的ip地址范围有时是难于确定的。在无法确定过滤范围时,一个可行的方法是使用反向地址发送(Unicast Reverse Path Forwarding)。
-------------------------------分页栏-------------------------------
反向地址发送是Cisco路由器的新版IOS提供的一项特性,简称uRPF。
uRPF的工作原理是:当路由器在一个接口上收到一个数据包时,它会查找CEF(Cisco Express Forward)表,验证是否存在从该接收接口到包中指定的源地址之间的路由,即反向查找路径,验证其真实性,如果不存在这样的路径就将数据包删除。
相比访问控制列表,uRPF具有很多优点,例如:耗费CPU资源少、可以适应路由器路由表的动态变化(因为CEF表会跟随路由表的动态变化而更新),所以维护量更少,对路由器的性能影响较小。
uRPF是基于接口配置的,配置命令如下:
(config)# ip cef
(config-if)# ip verify unicast reverse-path
注意:uRPF的实施,CEF必须是全局打开,并在配置接口上也是启用的。
禁止定向广播
在Smurf***中,***者将ping数据包发向一个网络的广播地址,例如:192.168.1.255。大多数情况下,路由器在接收到该广播包之后,默认会将这个第三层广播转换成第二层广播,即将192.168.1.255转换成为以太网的FF:FF:FF:FF:FF:FF 。而该广播网段上的所有以太网接口卡在接收到这个第二层广播之后,就会向主机系统发出中断请求,并对这个广播作出回应,从而消耗了主机资源,并且做出的回应可能造成对源地址所指目标的***。
所以,在绝大多数情况下,应该在边界路由器上禁止定向广播,使用以下接口命令禁止
(config)# no ip directed-broadcast
注:在绝大部分情况下,是不需要使用路由器的定向广播功能的,会使用定向广播的特例也有,例如,如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己,就必须向这个LAN发送定向广播,但对于这种应用可以通过使用WINS服务器解决。
禁止主机对ping广播作出反应
当前绝大部分的操作系统都可以通过特别的设置,使主机系统对于ICMP ECHO广播不做出回应。
通过阻止“放大器”网络上的主机对ICMP ECHO(ping)广播做出回应,可以阻止该广播网络成为***的帮凶。
-------------------------------分页栏-------------------------------
限制icmp echo的流量
当大量的数据涌入一个接口的时候,即使使用了访问策略对ICMP包进行了删除,接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务。
与被动的删除数据相比,一个主动的方法是,在接口上设置承诺速率限制(committed access rate,简称CAR),将特定数据的流量限制在一个范围之内,允许其适量的通过,同时保证了其它流量的正常通过。
例:使用CAR限制ICMP echo flooding
!建立访问列表,分类要过滤的数据
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
!在接口上配置CAR,将ICMP echo流量
!限制在256k,允许突发8k
interface Serial3/0/0
rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop
二、受害者的策略
由Smurf***产生的***数据流量在经过了“放大器网络“放大之后,当到达最终***目标时,数据流量可能是非常巨大的。为了保护被***的系统免于崩溃,我们可以采取以下两种策略:
使用控制访问列表过滤数据
在最终***目标的网络边界路由器上使用访问控制列表,拒绝将ping***数据包发往被***的主机。但这是一个粗努的方法,因为当你在路由器上完全限制了发往被***主机的ping数据包之后,其它希望正常通过的ping数据包也将无法通过。另外,在边界路由器上使用访问控制列表过滤ping数据之后,虽然可以保护路由器连接的内部网络免受***,但***的数据还是会大量涌入路由器,导致路由器接口的阻塞。
使用CAR限制速率
在最终***目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过。
结论
本文讨论的基于路由器配置来防御Dos***的方法在实际应用中有非常显著的效果。当前绝大部分的网络仍然使用路由器作为边界连接设备,所以本文阐述的方法具有普遍实施的意义。
转载于:https://blog.51cto.com/kevinkim/236417
路由器防御Dos***方法相关推荐
- 腾达路由器dns服务器未响应,腾达路由器的设置方法
腾达路由器的设置方法 许多刚买了tenda路由器的新手朋友们,还不知道腾达tenda路由器的设置方法,下面将通过图文并茂的方式,为你详细的介绍tenda路由器的具体设置步骤,希望能够帮助到你! 步骤一 ...
- 锐捷路由器如何配置虚拟服务器,[路由器自动配置方法技巧] 锐捷路由器配置方法...
欢迎您来到,欢迎阅读这篇文章,希望可以帮到您. 近年来,家用路由市场呈现出一片火爆的态势,各大厂商纷纷推出自己的一代又一代的路由器.不但从外观上进行了更美观的设计,而且从硬件上更是多下了一番功夫.其功 ...
- 三台路由器两台计算机华为,两台华为路由器桥接设置方法
本文主要介绍了两台(两个)华为无线路由器,WDS无线桥接设置方法.由于华为家用系列的无线路由器型号比较多,本文用2台华为WS550无线路由器为例,来介绍两个华为路由器桥接设置方法. 注意问题: (1) ...
- 荣耀路由器w831刷linux,华为荣耀WS831路由器设置的方法
连接你的华为WS831无线路由器;不要自作聪明. 那么请浏览后面二.重新设置WS831路由器上网部分的内容, (3).另外,这个涉及到局域网通信原理,按照上诉方式连接路由器后,那么设置上网时的界面是如 ...
- 计算机和路由器的网络号应如何设置,新的路由器该怎么设置上网? 路由器的设置方法...
面对一款新买的路由器,怎么通过快速设置以正常使用呢?其实对于新买的路由器,我们只需要按照正确的接线方法将路由器接入到网络中,然后在软件层面上设置"上网方式"就可以正常使用啦.由于路 ...
- Windows 服务器系统安全防御加固方法
Windows 服务器系统安全防御加固方法 更新: 2017-06-01 19:24 windows服务器安全加固方案,该方案主要针对windows server 2008 r2,当然对于2012等其 ...
- 《对抗攻击与防御分类方法综述》阅读笔记20220401
<对抗攻击与防御分类方法综述> A Review of Adversarial Attack and Defense for Classification Methods DOI:10.1 ...
- linux 限速命令,linux 路由器限速实现方法
linux 路由器限速实现方法 linux的开源和免费使得越来越多的厂家用它来做防火墙和路由器,今天本文用linux来打造一台高性能的能够限速的路由器.文章就以red hat为例教大家在linux下进 ...
- 进入路由器linux系统时间长,linux 路由器限速实现方法教程
作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架.这篇文章主要介绍了linux 路由器限速实现 ...
- 磊科路由器信号按键_如何设置磊科无线路由器?磊科路由器的设置方法和教程...
昨天有个朋友问到小编如何设置磊科无线路由器?其实磊科无线路由器的设置方法跟一般的无线路由器的设置方法是一样的,既然有路饭网的网友问到了,小编就介绍一下如何设置磊科无线路由器. 磊科无线路由器 磊科无线 ...
最新文章
- HackerRank Gift Boxes(hash)
- [crypto]-31-crypto engion的学习和总结
- linux 基础命令2
- ubuntu14.04,安装JDK1.8(JAVA程序需要的开发、运行环境)
- SparkSQL练习+理解+详解
- datetime类型怎么输入_精心整理MySQL基本使用(数据库的操作、数据类型、MySQL的常用命令)...
- VS.Net中向报表模板中传递参数与公式
- 95-290-382-源码-内存管理-Buffer-Flink运行时之统一的数据交换对象
- MYSQL建表时数据类型的选择
- Windows Workflow RC HOL学习笔记(四):使用Listen,Delay和event-based自定义Activities
- Centos安装Lammps教程——intel、openmpi、fftw环境
- PMP笔记 第6章 项目进度管理
- 云服务器ecs什么意思
- 内网渗透篇-信息收集
- 小火狐进化_神奇宝贝御三家还是原来的最可爱?新的三只也不差
- 关于win10专业版无法下载暴雪战网的解决方案
- (附源码)springBoot高校宿舍交电费系统 毕业设计 031552
- Win10系统如何调整分区大小?
- 除法器的实现(恢复余数、不恢复余数、级数展开、Newton-Raphson)
- 表格提示html内容消失,如何解决Word里面的表格插入题注后页面上内容消失、无法编辑的问题...