路由器dos攻击:利用路由器防止DoS攻击的思路方法介绍

　　防止DoS攻击有很多值得学习地方这里我们主要介绍如何利用路由器防止DoS攻击包括介绍如何利用路由器防止DoS攻击思路方法等方面

　　拒绝服务(DoS)攻击是目前黑客广泛使用种攻击手段它通过独占网络资源、使其他主机不能进行正常访问从而导致宕机或网络瘫痪

　　DoS攻击主要分为Smurf、SYNFlood和Fraggle 3种在Smurf攻击中攻击者使用ICMP数据包阻塞服务器和其他网络资源；SYNFlood攻击使用数量巨大TCP半连接来占用网络资源；Fraggle攻击和Smurf攻击原理类似使用UDPecho请求而不是ICMPecho请求发起攻击

　　尽管网络安全专家都在着力开发阻止DoS攻击设备但收效不大DoS攻击利用了TCP协议本身弱点正确配置路由器能够有效防止DoS攻击

　　使用扩展访问列表

　　扩展访问列表是防止DoS攻击有效工具它既可以用来探测DoS攻击类型也可以阻止DoS攻击ShowIPaccess-list命令能够显示每个扩展访问列表匹配数据包根据数据包类型用户就可以确定DoS攻击种类如果网络中出现了大量建立TCP连接请求这表明网络受到了SYNFlood攻击这时用户就可以改变访问列表配置阻止DoS攻击

　　使用QoS

　　使用服务质量优化(QoS)特征如加权公平队列(WFQ)、承诺访问速率(CAR)、般流量整形(GTS)以及定制队列(CQ)等都可以有效阻止DoS攻击需要注意是区别QoS策略对付区别DoS攻击效果是有差别例如WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效这是PingFlood通常会在WFQ中表现为个单独传输队列而SYNFlood攻击中每个数据包都会表现为个单独数据流此外人们可以利用CAR来限制ICMP数据包流量速度防止Smurf攻击也可以用来限制SYN数据包流量速度防止SYNFlood攻击使用QoS防止DoS攻击需要用户弄清楚QoS以及DoS攻击原理这样才能针对DoS攻击区别类型采取相应防范措施

　　使用单地址逆向转发

　　逆向转发(RPF)是路由器个输入功能该功能用来检查路由器接口所接收每个数据包如果路由器接收到个源IP地址为10.10.10.1数据包但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息路由器就会丢弃该数据包因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装攻击

　　使用RPF功能需要将路由器设为快速转发模式(CEFswitching)并且不能将启用RPF功能接口配置为CEF交换RPF在防止IP地址欺骗方面比访问列表具有优势首先它能动态地接受动态和静态路由表中变化；第 2RPF所需要操作维护较少；第 3RPF作为个反欺骗工具对路由器本身产生性能冲击要比使用访问列表小得多

　　使用TCP拦截

　　Cisco在IOS11.3版以后引入了TCP拦截功能这项功能可以有效防止SYNFlood攻击内部主机

　　TCP连接请求到达目标主机的前TCP拦截通过拦截和验证来阻止这种攻击TCP拦截可以在拦截和监视两种模式下工作在拦截模式下路由器拦截到达TCP同步请求并代表服务器建立和客户机连接如果连接成功则代表客户机建立和服务器连接并将两个连接进行透明合并在整个连接期间路由器会直拦截和发送数据包对于非法连接请求路由器提供更为严格对于half-open超时限制以防止自身资源被SYN攻击耗尽在监视模式下路由器被动地观察流经路由器连接请求如果连接超过了所配置建立时间路由器就会关闭此连接

　　在Cisco路由器上开启TCP拦截功能需要两个步骤:是配置扩展访问列表以确定需要保护IP地址； 2是开启TCP拦截配置访问列表是为了定义需要进行TCP拦截源地址和目地址保护内部目标主机或网络在配置时用户通常需要将源地址设为any并且指定具体目标网络或主机如果不配置访问列表路由器将会允许所有请求经过

　　使用基于内容访问控制

　　基于内容访问控制(CBAC)是对Cisco传统访问列表扩展它基于应用层会话信息智能化地过滤TCP和UDP数据包防止DoS攻击

　　CBAC通过设置超时时限值和会话门限值来决定会话维持时间以及何时删除半连接对TCP而言半连接是指个没有完成 3阶段握手过程会话对UDP而言半连接是指路由器没有检测到返回流量会话

　　CBAC正是通过监视半连接数量和产生频率来防止洪水攻击每当有不正常半连接建立或者在短时间内出现大量半连接时候用户可以判断是遭受了洪水攻击CBAC每分钟检测次已经存在半连接数量和试图建立连接频率当已经存在半连接数量超过了门限值路由器就会删除些半连接以保证新建立连接需求路由器持续删除半连接直到存在半连接数量低于另个门限值；同样当试图建立连接频率超过门限值路由器就会采取相同措施删除部分连接请求并持续到请求连接数量低于另个门限值通过这种连续不断监视和删除CBAC可以有效防止SYNFlood和Fraggle攻击

　　路由器是企业内部网络第道防护屏障也是黑客攻击个重要目标如果路由器很容易被攻破那么企业内部网络安全也就无从谈起因此在路由器上采取适当措施防止各种DoS攻击是非常必要用户需要注意是以上介绍几种思路方法对付区别类型DoS攻击能力是区别对路由器CPU和内存资源占用也有很大差别在实际环境中用户需要根据自身情况和路由器性能来选择使用

延伸阅读

• 2009-9-12-- 路由器dos攻击:注意警惕DoS的路由器攻击
• 2009-9-12-- 路由器dos攻击:路由技术  利用路由器防止  DoS  疯狂攻击