A.;可以在网络的任何一点进行限制,但是最好在网络的边界路由器上进行,因为在网络内部是难于判定地址伪造的 。
B.;最好对接口进入的数据进行访问控制(用ip;access-group;list;in) 。因为输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保护了路由器本身不受到外界的攻击 。
C.;不仅对外部的端口进行访问控制,还要对内部的端口进行访问控制 。因为可以防止来自内部的攻击行为 。
下面是一个是一个访问列表的例子:
ip;access-list;number;deny;icmp;any;any;redirect;拒绝所有的Icmp;重定向
ip;access-list;number;deny;ip;host;127.0.0.0;0.255.255.255;any;拒绝Loopback的数据包
ip;access-list;number;deny;ip;224.0.0.0;31.255.255.255;any;拒绝多目地址的数据包
除了访问列表的限制外,还可以利用路由器的RPF检查(ip;verify;unicast;rpf) 。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判定是不是到达这个源地址的路由是不是也经过这个接口转发,假如不是则抛弃 。这进一步保证了数据源的正确性 。但是这种方式不适合非对称的路由,即A到B的路由与B到A的路由不相同 。所以需要判定清楚路由器的具体配置 。
2.控制直接广播
一个IP直接广播是一个目的地为某个子网的广播地址的数据包,但是这个发送主机的不与这个目的子网直接相连 。所以这个数据包被路由器当作普通包转发直到目的子网,然后被转换为链路层广播 。由于Ip地址结构的特性,只有直接连接到这个子网的路由器能够识别一个直接广播包 。针对这个功能,目前存在一种攻击称为"smurf",攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网 。从而导致子网的所有主机向这个非法地址发送响应,最终导致目的网络的广播风暴 。
对于这种攻击可以在路由器的接口上设置no;ip;directed-broadcast,但是这种直接广播包,要被这个接口转换成链路层的广播而不是抛弃,所以为了更好防止攻击,最好在将所有可能连接到目的子网的路由器都配置no;ip;directed-broadcast 。
3.;防止路由攻击
源路由攻击一种常用攻击方法,因为一些老的Ip实现在处理源路由包时存在问题,所以可能导致这些机器崩溃,所以最好在路由器上关闭源路由 。用命令no;ip;source-route 。
Icmp;重定向攻击也是一种常用的路由攻击方法 。攻击者通过发送错误的重定向信息给末端主机,从而导致末端主机的错误路由 。这种攻击可以通过在边界路由器上设定过滤所有icmp重定向数据来实现 。但是这只能阻止外部的攻击者,假如攻击者和目的主机在同一个网段则没有办法 。
当路由器采用动态协议时,攻击者可以伪造路由包,破坏路由器的路由表 。为了防止这种攻击可以利用访问列表(distribute-list;in)限定正确路由信息的范围 。并且假如可能则采用认证机制 。如Rip;2或ospf支持认证等 。
六.;流量治理
目前大多数的Dos攻击都是通过发送大量的无用包,从而占用路由器和带宽的资源,导致网络和设备过载,这种攻击也称为"洪泛攻击" 。对于这种攻击的防范首先要明确瓶颈在哪里 。例如:假如攻击导致线路阻塞,则在线路的源路由节点进行过滤可以有效的防止,但是在线路的目的路由端进行过滤,就没有什么效果 。并且要注重路由器本身也可能成为攻击的对象,而且这种情况更加糟糕 。对于这种类型攻击的防范有如下:
1.;网络保护:
利用路由器的Qos功能来分担负载来防止一些洪泛攻击 。方式有WFQ,CAR,GTS等 。但是要注重的是每种方式的应用不同 。如WFQ防止ping;攻击比SYN攻击更有效 。所以要正确选择方式,才能有效的防止攻击 。
推荐阅读
- 人生自古谁无死的作者是谁 《过零丁洋》原文
- 黄瓜褐斑病的防治技术
- 赵弈钦凤囚凰演的是谁
- 华为路由A2可以限速吗
- 去水印秀的具体使用步骤介绍
- PPPoE实例:2600路由器接ADSL Modem
- 法租界范围
- 一百以内的质数 质数的算术定理
- 离太阳最近的行星 离太阳最近的行星是哪个
- 千禧果和圣女果的区别