DoS来袭，路由器如何防范（上）

数码时尚

郝忠华 冯小东

　　现在，由于路由器在网络中的核心地位，许多DoS攻击(拒绝服务攻击)对象已从服务器转向路由器。路由器一旦受到侵入，就会被用作扫描行动、欺骗连接的平台，并作为发动新一次DoS攻击的跳板，最后导致全网灾难性的破坏。下面笔者以Cisco路由器为例，介绍一下如何在路由器上进行设置以防范DoS攻击。

　　小资料

　　DoS(Denial Of Service，缩写为DoS)攻击即拒绝服务攻击是目前最普遍的一种攻击行为，是大型网站和网络服务器、路由器的安全威胁之一。大多数的DoS攻击都是通过发送大量的无用数据包，从而占用路由器和带宽的资源，使服务设备提供过多的服务，导致网络和设备过载，因此，这种攻击也被称为“洪水攻击”。

　　一、防止SYN风暴攻击

　　SYN攻击是DoS(拒绝服务)攻击中的一种，防范它需要在边界路由器上采用TCP拦截。可利用Cisco IOS软件的TCP连接功能来实现对SYN风暴的防御。TCP的拦截程序对从TCP客户机发往TCP服务器的TCP连接请求进行跟踪，并可以进行拦截和验证。通过拦截和验证这些请求，可以帮助我们防止SYN风暴攻击。而我们的TCP拦截有两种模式，拦截模式(默认模式)和监控模式，其中监控模式更加智能化。

　　小资料

　　SYN Flood(同步攻击)是当前最流行的DoS(拒绝服务)攻击与DDoS(分布式拒绝服务)攻击的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

　　下面，我们就来进行TCP拦截的具体配置。

　　第一步，创建IP扩展访问控制列表。

　　配置命令：access-list access-list-number {deny｜permit}tcp any destination destinationwildcard(注意destination参数一定要指明)

　　第二步，启用一个TCP连接。

　　配置命令： ip tcp intercept list access-list-number

　　第三步，设置拦截模式。

　　配置命令：ip tcp intercept mode {intercept｜watch}

　　第四步，验证TCP拦截。

　　配置命令：show tcp intercept connection(用来判断连接是否为SYN攻击)

　　第五步，可显示拦截的统计信息。

　　配置命令：show tcp intercept statistics

　　第六步，通过输入相关的命令来执行—些可以选择的任务，用于调整TCP的连接值，包括设置TCP拦截丢包模式、改变TCP拦截定时器、改变TCP拦截进入running状态的门限。

　　二、控制直接广播

　　一个IP直接广播是一个目的地为某个子网广播地址的数据包，但IP直接广播发送主机的子网并不与目的子网直接相连。所以这个数据包会被路由器当做普通数据包转发到目的子网，然后被转换为链路层广播。smurf攻击(smurf攻击也是DoS攻击的一种)针对这个功能，攻击者通过不断地发送一个源地址为非法地址的直接广播包到被攻击的子网。从而导致子网中的所有主机向这个非法地址发送响应，最终导致目的网络产生广播风暴。

　　防范这种攻击，可以将所有可能连接到目的子网的路由器上都配置“no ip directed-broadcast”。

　　三、防止路由攻击

　　源路由攻击是一种常用的DoS攻击方法，所以最好在路由器上关闭源路由，可使用命令“no ip source-route”实现。

　　ICMP重定向攻击也是一种常用的路由攻击方法，攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。对这种攻击的防范可以通过在边界路由器上设定过滤所有ICMP重定向数据来实现，但这只能阻止外部的攻击者，如果攻击者和目的主机在同一个网段则没有办法。而且，当路由器采用动态协议时，攻击者可以伪造路由包，破坏路由器的路由表。为了防止这种攻击，可以利用访问列表(distribute-list in)限定正确路由信息的范围，如果可能建议还采用认证机制，如Rip 2或OSPF认证等。

　　小资料

　　在TCP/IP报头里，有一个可以指定source routing的选项，它允许数据包发送到对方后，对方返回数据给你要通过的路由表。这个数据包的发送给程序通讯等带来很大的方便，但也存在很大的安全隐患， 因为可以指定任意路由， 那么数据包发送者可以自定义数据包头来伪装成内部主机或信任主机，与目标机器建立信任连接，这个过程称为伪路由攻击或源路由攻击。

　　四、限制数据包的地址范围

　　在网络中的边界路由器上对从接口进入的数据进行访问控制(用ip access-group list in)。

　　配置命令

　　ip access-list number deny icmp any any redirect '拒绝所有的ICMP重定向

　　ip access-list number deny ip host 127．0．0．0 0．255．255．255 any '拒绝Loopback的数据包

　　ip access-list number deny ip 224．0．0．0 2．255．255．255 any '拒绝多目地址的数据包

　　除了对访问列表进行限制外，还可以利用路由器的RPF检查功能，这项功能主要用于检查进入接口的数据包的源地址，进一步保证了数据源的正确性。