防止DoS攻击有很多值得学习
![](/icons/21381de.gif)
地方
![](/icons/21381dou.gif)
这里我们主要介绍如何利用路由器防止DoS攻击
![](/icons/21381dou.gif)
包括介绍如何利用路由器防止DoS攻击
![](/icons/21381de.gif)
思路方法等方面
![](/icons/21381dou2.gif)
拒绝服务(DoS)攻击是目前黑客广泛使用
![](/icons/21381de.gif)
![](/icons/21381yi.gif)
种攻击手段
![](/icons/21381dou.gif)
它通过独占网络资源、使其他主机不能进行正常访问
![](/icons/21381dou.gif)
从而导致宕机或网络瘫痪
![](/icons/21381dou2.gif)
DoS攻击主要分为Smurf、SYNFlood和Fraggle 3种
![](/icons/21381dou.gif)
在Smurf攻击中
![](/icons/21381dou.gif)
攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYNFlood攻击使用数量巨大
![](/icons/21381de.gif)
TCP半连接来占用网络资源;Fraggle攻击和Smurf攻击原理类似
![](/icons/21381dou.gif)
使用UDPecho请求而不是ICMPecho请求发起攻击
![](/icons/21381dou2.gif)
尽管网络安全专家都在着力开发阻止DoS攻击
![](/icons/21381de.gif)
设备
![](/icons/21381dou.gif)
但收效不大
![](/icons/21381dou.gif)
![](/icons/21381yinwei.gif)
DoS攻击利用了TCP协议本身
![](/icons/21381de.gif)
弱点
![](/icons/21381dou2.gif)
正确配置路由器能够有效防止DoS攻击
![](/icons/21381dou2.gif)
使用扩展访问列表
扩展访问列表是防止DoS攻击
![](/icons/21381de.gif)
有效工具
![](/icons/21381dou2.gif)
它既可以用来探测DoS攻击
![](/icons/21381de.gif)
类型
![](/icons/21381dou.gif)
也可以阻止DoS攻击
![](/icons/21381dou2.gif)
ShowIPaccess-list命令能够显示每个扩展访问列表
![](/icons/21381de.gif)
匹配数据包
![](/icons/21381dou.gif)
根据数据包
![](/icons/21381de.gif)
类型
![](/icons/21381dou.gif)
用户就可以确定DoS攻击
![](/icons/21381de.gif)
种类
![](/icons/21381dou2.gif)
如果网络中出现了大量建立TCP连接
![](/icons/21381de.gif)
请求
![](/icons/21381dou.gif)
这表明网络受到了SYNFlood攻击
![](/icons/21381dou.gif)
这时用户就可以改变访问列表
![](/icons/21381de.gif)
配置
![](/icons/21381dou.gif)
阻止DoS攻击
![](/icons/21381dou2.gif)
使用QoS
使用服务质量优化(QoS)特征
![](/icons/21381dou.gif)
如加权公平队列(WFQ)、承诺访问速率(CAR)、
![](/icons/21381yi.gif)
般流量整形(GTS)以及定制队列(CQ)等
![](/icons/21381dou.gif)
都可以有效阻止DoS攻击
![](/icons/21381dou2.gif)
需要注意
![](/icons/21381de.gif)
是
![](/icons/21381dou.gif)
区别
![](/icons/21381de.gif)
QoS策略对付区别DoS攻击
![](/icons/21381de.gif)
效果是有差别
![](/icons/21381de.gif)
![](/icons/21381dou2.gif)
例如
![](/icons/21381dou.gif)
WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效
![](/icons/21381dou.gif)
这是
![](/icons/21381yinwei.gif)
PingFlood通常会在WFQ中表现为
![](/icons/21381yi.gif)
个单独
![](/icons/21381de.gif)
传输队列
![](/icons/21381dou.gif)
而SYNFlood攻击中
![](/icons/21381de.gif)
每
![](/icons/21381yi.gif)
个数据包都会表现为
![](/icons/21381yi.gif)
个单独
![](/icons/21381de.gif)
数据流
![](/icons/21381dou2.gif)
此外
![](/icons/21381dou.gif)
人们可以利用CAR来限制ICMP数据包流量
![](/icons/21381de.gif)
速度
![](/icons/21381dou.gif)
防止Smurf攻击
![](/icons/21381dou.gif)
也可以用来限制SYN数据包
![](/icons/21381de.gif)
流量速度
![](/icons/21381dou.gif)
防止SYNFlood攻击
![](/icons/21381dou2.gif)
使用QoS防止DoS攻击
![](/icons/21381dou.gif)
需要用户弄清楚QoS以及DoS攻击
![](/icons/21381de.gif)
原理
![](/icons/21381dou.gif)
这样才能针对DoS攻击
![](/icons/21381de.gif)
区别类型采取相应
![](/icons/21381de.gif)
防范措施
![](/icons/21381dou2.gif)
使用单
![](/icons/21381yi.gif)
地址逆向转发
逆向转发(RPF)是路由器
![](/icons/21381de.gif)
![](/icons/21381yi.gif)
个输入功能
![](/icons/21381dou.gif)
该功能用来检查路由器接口所接收
![](/icons/21381de.gif)
每
![](/icons/21381yi.gif)
个数据包
![](/icons/21381dou2.gif)
如果路由器接收到
![](/icons/21381yi.gif)
个源IP地址为10.10.10.1
![](/icons/21381de.gif)
数据包
![](/icons/21381dou.gif)
但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息
![](/icons/21381dou.gif)
路由器就会丢弃该数据包
![](/icons/21381dou.gif)
因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装
![](/icons/21381de.gif)
攻击
![](/icons/21381dou2.gif)
使用RPF功能需要将路由器设为快速转发模式(CEFswitching)
![](/icons/21381dou.gif)
并且不能将启用RPF功能
![](/icons/21381de.gif)
接口配置为CEF交换
![](/icons/21381dou2.gif)
RPF在防止IP地址欺骗方面比访问列表具有优势
![](/icons/21381dou.gif)
首先它能动态地接受动态和静态路由表中
![](/icons/21381de.gif)
变化;第 2RPF所需要
![](/icons/21381de.gif)
操作维护较少;第 3RPF作为
![](/icons/21381yi.gif)
个反欺骗
![](/icons/21381de.gif)
工具
![](/icons/21381dou.gif)
对路由器本身产生
![](/icons/21381de.gif)
性能冲击
![](/icons/21381dou.gif)
要比使用访问列表小得多
![](/icons/21381dou2.gif)
使用TCP拦截
Cisco在IOS11.3版以后
![](/icons/21381dou.gif)
引入了TCP拦截功能
![](/icons/21381dou.gif)
这项功能可以有效防止SYNFlood攻击内部主机
![](/icons/21381dou2.gif)
TCP连接请求到达目标主机的前
![](/icons/21381dou.gif)
TCP拦截通过拦截和验证来阻止这种攻击
![](/icons/21381dou2.gif)
TCP拦截可以在拦截和监视两种模式下工作
![](/icons/21381dou2.gif)
在拦截模式下
![](/icons/21381dou.gif)
路由器拦截到达
![](/icons/21381de.gif)
TCP同步请求
![](/icons/21381dou.gif)
并代表服务器建立和客户机
![](/icons/21381de.gif)
连接
![](/icons/21381dou.gif)
如果连接成功
![](/icons/21381dou.gif)
则代表客户机建立和服务器
![](/icons/21381de.gif)
连接
![](/icons/21381dou.gif)
并将两个连接进行透明合并
![](/icons/21381dou2.gif)
在整个连接期间
![](/icons/21381dou.gif)
路由器会
![](/icons/21381yi.gif)
直拦截和发送数据包
![](/icons/21381dou2.gif)
对于非法
![](/icons/21381de.gif)
连接请求
![](/icons/21381dou.gif)
路由器提供更为严格
![](/icons/21381de.gif)
对于half-open
![](/icons/21381de.gif)
超时限制
![](/icons/21381dou.gif)
以防止自身
![](/icons/21381de.gif)
资源被SYN攻击耗尽
![](/icons/21381dou2.gif)
在监视模式下
![](/icons/21381dou.gif)
路由器被动地观察流经路由器
![](/icons/21381de.gif)
连接请求
![](/icons/21381dou.gif)
如果连接超过了所配置
![](/icons/21381de.gif)
建立时间
![](/icons/21381dou.gif)
路由器就会关闭此连接
![](/icons/21381dou2.gif)
在Cisco路由器上开启TCP拦截功能需要两个步骤:
![](/icons/21381yi.gif)
是配置扩展访问列表
![](/icons/21381dou.gif)
以确定需要保护
![](/icons/21381de.gif)
IP地址; 2是开启TCP拦截
![](/icons/21381dou2.gif)
配置访问列表是为了定义需要进行TCP拦截
![](/icons/21381de.gif)
源地址和目
![](/icons/21381de.gif)
地址
![](/icons/21381dou.gif)
保护内部目标主机或网络
![](/icons/21381dou2.gif)
在配置时
![](/icons/21381dou.gif)
用户通常需要将源地址设为any
![](/icons/21381dou.gif)
并且指定具体
![](/icons/21381de.gif)
目标网络或主机
![](/icons/21381dou2.gif)
如果不配置访问列表
![](/icons/21381dou.gif)
路由器将会允许所有
![](/icons/21381de.gif)
请求经过
![](/icons/21381dou2.gif)
使用基于内容
![](/icons/21381de.gif)
访问控制
基于内容
![](/icons/21381de.gif)
访问控制(CBAC)是对Cisco传统访问列表
![](/icons/21381de.gif)
扩展
![](/icons/21381dou.gif)
它基于应用层会话信息
![](/icons/21381dou.gif)
智能化地过滤TCP和UDP数据包
![](/icons/21381dou.gif)
防止DoS攻击
![](/icons/21381dou2.gif)
CBAC通过设置超时时限值和会话门限值来决定会话
![](/icons/21381de.gif)
维持时间以及何时删除半连接
![](/icons/21381dou2.gif)
对TCP而言
![](/icons/21381dou.gif)
半连接是指
![](/icons/21381yi.gif)
个没有完成 3阶段握手过程
![](/icons/21381de.gif)
会话
![](/icons/21381dou2.gif)
对UDP而言
![](/icons/21381dou.gif)
半连接是指路由器没有检测到返回流量
![](/icons/21381de.gif)
会话
![](/icons/21381dou2.gif)
CBAC正是通过监视半连接
![](/icons/21381de.gif)
数量和产生
![](/icons/21381de.gif)
频率来防止洪水攻击
![](/icons/21381dou2.gif)
每当有不正常
![](/icons/21381de.gif)
半连接建立或者在短时间内出现大量半连接
![](/icons/21381de.gif)
时候
![](/icons/21381dou.gif)
用户可以判断是遭受了洪水攻击
![](/icons/21381dou2.gif)
CBAC每分钟检测
![](/icons/21381yi.gif)
次已经存在
![](/icons/21381de.gif)
半连接数量和试图建立连接
![](/icons/21381de.gif)
频率
![](/icons/21381dou.gif)
当已经存在
![](/icons/21381de.gif)
半连接数量超过了门限值
![](/icons/21381dou.gif)
路由器就会删除
![](/icons/21381yi.gif)
些半连接
![](/icons/21381dou.gif)
以保证新建立连接
![](/icons/21381de.gif)
需求
![](/icons/21381dou.gif)
路由器持续删除半连接
![](/icons/21381dou.gif)
直到存在
![](/icons/21381de.gif)
半连接数量低于另
![](/icons/21381yi.gif)
个门限值;同样
![](/icons/21381dou.gif)
当试图建立连接
![](/icons/21381de.gif)
频率超过门限值
![](/icons/21381dou.gif)
路由器就会采取相同
![](/icons/21381de.gif)
措施
![](/icons/21381dou.gif)
删除
![](/icons/21381yi.gif)
部分连接请求
![](/icons/21381dou.gif)
并持续到请求连接
![](/icons/21381de.gif)
数量低于另
![](/icons/21381yi.gif)
个门限值
![](/icons/21381dou2.gif)
通过这种连续不断
![](/icons/21381de.gif)
监视和删除
![](/icons/21381dou.gif)
CBAC可以有效防止SYNFlood和Fraggle攻击
![](/icons/21381dou2.gif)
路由器是企业内部网络
![](/icons/21381de.gif)
第
![](/icons/21381yi.gif)
道防护屏障
![](/icons/21381dou.gif)
也是黑客攻击
![](/icons/21381de.gif)
![](/icons/21381yi.gif)
个重要目标
![](/icons/21381dou.gif)
如果路由器很容易被攻破
![](/icons/21381dou.gif)
那么企业内部网络
![](/icons/21381de.gif)
安全也就无从谈起
![](/icons/21381dou.gif)
因此在路由器上采取适当措施
![](/icons/21381dou.gif)
防止各种DoS攻击是非常必要
![](/icons/21381de.gif)
![](/icons/21381dou2.gif)
用户需要注意
![](/icons/21381de.gif)
是
![](/icons/21381dou.gif)
以上介绍
![](/icons/21381de.gif)
几种思路方法
![](/icons/21381dou.gif)
对付区别类型
![](/icons/21381de.gif)
DoS攻击
![](/icons/21381de.gif)
能力是区别
![](/icons/21381de.gif)
![](/icons/21381dou.gif)
对路由器CPU和内存资源
![](/icons/21381de.gif)
占用也有很大差别
![](/icons/21381dou.gif)
在实际环境中
![](/icons/21381dou.gif)
用户需要根据自身情况和路由器
![](/icons/21381de.gif)
性能来选择使用
延伸阅读
最新评论