DoS来袭,路由器如何防范(下)
数码时尚
五、禁止不需要的服务
路由器通常都提供很多服务,如Finger、Telnet等,但这些服务有时会被攻击者利用,所以最好禁止所有不需要的服务。
1.echo、chargen、discard
这些服务很少被使用,而且容易被攻击者利用来越过包过滤机制。如echo服务,就可以被攻击者利用来发送数据包。所以,最好禁止这些服务,可以利用“no service tcp-small-servers”和“no service udp-small-servers”命令来实现。
2.Finger、NTP、CDP
Finger服务可能被攻击者用于查找用户名和口令。NTP服务并不是十分危险的,但如果没有一个很好的认证,则会影响路由器的正确时间,导致日志和其他任务出错。CDP可能被攻击者用于获得路由器的版本等信息,从而进行攻击。所以对于上面的几种服务如果没有十分必要的需求,最好禁止它们,可以用“no service finger”、“no ntp enable”、“no cdp running”(或“no cdp enable”)来实现。
六、防止ICMP数据风暴
限制操作的最低要求是运行CiscoIOS 11.1cc。例如,我们可以在边界路由器的输入接口上进行流量限制。
第一步,利用访问控制列表对数据包进行分类,定义出ICMP数据流。
第二步,利用CAR(Committed Access Rate的缩写,可靠速率接入技术)有选择地将数据流量限制在—定的带宽之内,如果超过了限制好的带宽,则对数据包进行丢包处理。我们可以用“rate-limit”命令配置CAR,但还要注意的是,我们在配置CAR前要打开接口CEF功能,即Cisco特快转发功能。例如:
interface serial 0
rate-limit output access-group 105 2048000 1024000 156000
conform-action
transmit exceed-action drop
access-list 105 permit icmp any any echo-reply
上面的例子是为边界路由器的串口1定义的,访问控制列表105将要做CAR限制的数据流选为ICMP ECHO-REPLY,它限定平均传输速率为2048Kbps,正常的突发数据量是1024K字节,如果超过这个限制,就开始丢包。
小资料
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议的一个子协议,用于在IP主机、路由器之间传递控制消息。此外,向目标主机长时间、连续、大量地发送ICMP数据包,会导致系统瘫痪,形成“ICMP风暴”,使得目标主机耗费大量的CPU资源。
DoS攻击的手段和方法不断变化,一些攻击无法从路由器上过滤掉,而且对于来自内部网络的攻击,路由器的防范能力还是有限的。因此,还需要经常升级路由器IOS系统,安装补丁。通过对路由器进行安全配置,为网络建立一个可靠的外部屏障,并配合其他安全设备,构建一个高效、安全的网络。