路由器攻击防御_路由器防ddos攻击

hacker|
180

如何设置路由器上防止DDoS攻击?

1、使用 ip verfy unicast reverse-path *** 接口命令 这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达 *** 接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。 单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止 *** URF攻击和其它基于IP地址伪装的攻击。这能够保护 *** 和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的 *** 接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个 *** 接口或子接口上激活的输入端功能,处理路由器接收的数据包。 在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。 2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址 参考以下例子: interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文 参考以下例子: {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端 *** } ISP端边界路由器应该只接受源地址属于客户端 *** 的通信,而客户端 *** 则应该只接受源地址未被客户端 *** 过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子: access-list 190 permit ip {客户端 *** } {客户端 *** 掩码} any access-list 190 deny ip any any [log] interface {内部 *** 接口} { *** 接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子: access-list 187 deny ip {客户端 *** } {客户端 *** 掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端 *** } {客户端 *** 掩码} any access-list 188 deny ip any any interface {外部 *** 接口} { *** 接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的 *** 接口并不需要是CEF交换接口。 4、使用CAR(Control Access Rate)限制ICMP数据包流量速率 参考以下例子: interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action tran *** it exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。

DDoS 攻击与防御

分布式拒绝服务攻击(Distributed Denial of Service),是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。

DDoS 是一种基于 DoS 的特殊形式的拒绝服务攻击。单一的 DoS 攻击一般是采用一对一方式,利用 *** 协议和操作系统的缺陷,采用欺骗和伪装的策略来进行 *** 攻击,使网站服务器充斥大量要求回复的信息,消耗 *** 带宽或系统资源,导致 *** 或系统不胜负荷以至于瘫痪而停止提供正常的 *** 服务。与 DoS 相比,DDos 借助数百上千台攻击机形成集群,发起的规模更大,更难防御的一种进攻行为。

ICMP 用于在 IP 主机,路由器之间传递控制消息( *** 是否连通,主机是否可达,路由是否可用等)。ICMP 虽然不传递用户数据,但是对于用户数据的传递起着重要的作用。ICMP Flood 通过对目标系统发送海量的数据报,就可以令目标主机瘫痪,形成洪泛攻击。

UDP 协议是一种无连接的协议,在 UDP Flood 中,攻击者通常发送大量伪造 IP 地址的 UDP 报去冲击 DNS 服务器,Radius 认证服务器,流媒体视频服务器等,造成服务不可用。 上述的两种是比较传统的流量型攻击,技术含量较低,以占满 *** 带宽使得正常用户无法得到服务为攻击方式,攻击效果通常依赖于攻击者本身的 *** 性能,而且容易被查找攻击源头。

NTP 是标准的基于 UDP 协议的 *** 时间同步协议。由于 UDP 无连接的特性,NTP 服务器并不能保证收到报文的源 IP 的正确性。所以,攻击者通过将 IP 报文的源 IP 地址换为靶机的 IP 地址,并向 NTP 服务器发送大量的时间同步报文,这样,NTP 服务器的响应报文就会达到靶机上,沾满靶机 *** 段的带宽资源,同时也很难去追溯攻击源头。

SYN Flood 是一种利用 TCP 协议缺陷,发送大量伪造的 TCP 连接请求,从而使目标服务器资源耗尽的攻击方式。如果客户端只发起之一次握手,而不响应服务端的第二次握手,那么这条连接就处于半连接状态,服务端会维持这条连接一段时间(SYN Timeout)并不断地重试。但攻击者大量的模拟这种情况,就会沾满整个服务端的连接符号表,并消耗大量的 CPU 资源进行重试操作。而对于 SNY Flood 的防御目前有两种常见的方式,一种是算短 SYN Timeout,另一种是设置 SYN Cookie,并开辟一个数组存放 Cookie,单连接没有真正建立时,不去占用连接符号表。

DNS Query Flood 通过操纵大量的傀儡机,向本网段的域名服务器发送大量域名解析请求,通常这些请求解析的域名是随机生成或 *** 上根本不存在的域名,由于本地域名服务器无法找到对应的结果,就会通过层层上次给更高级的域名服务器,引起连锁反应,导致本网段内的域名解析服务瘫痪,但一般最多只会瘫痪一小段 *** 。

HashDos 是一种新型的,基于 Hash 碰撞形成的攻击。随着现在 RESTful 风格的不断普及,json 格式作为数据传输的格式愈发成为主流。但是 json 反序列化为对象时,底层是通过 hash 算法来将字段与属性,属性值进行一一匹配。所以,一旦攻击者知道了我们序列化方式,构造出一段具有严重哈希碰撞的 json 数据,就会使我们服务端序列化的复杂度从 O(1) 暴增到 O(n)。

DDos 的防御主要有两种,一种是针对流量带宽,一种是针对服务端资源。流量带宽一般需要通过运营商采用 ISP 黑洞,近源清洗等策略,在源头(即攻击者所在的网段)进行拦截,而不是等到所有的细流汇聚成猛水时才进行拦截。

而对于服务端的资源,则是当下 DDos 的重灾区,本文以攻防对抗的方式讲述 DDos 的发展历程。

参考文献:

路由器攻击防护功能怎么设置

互联网的发展越来越快, *** 也已经几乎普及到了我们每个家庭,路由器设备是我们最常使用来连接 *** 的工具,那么你知道路由器攻击防护功能怎么设置吗?下面是我整理的一些关于路由器攻击防护功能设置的相关资料,供你参考。

路由器攻击防护功能设置的 ***

在 *** 使用的过程中,往往会遇到各种各样的 *** 攻击,如:扫描类的攻击,DoS攻击等。

我司企业级路有器内置了目前常见的 *** 攻击防护 措施 ,支持内/外部攻击防范,提供扫描类攻击、DoS类攻击、可疑包和含有IP选项的包等攻击保护,能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等 *** 攻击,有效防止Nimda攻击等。(路由器只是对于 *** 中常见的攻击进行防护,对于 *** 的操作进行监控,而病毒,木马等这些处于应用层的应用,我司路由器并不是杀毒软件,并不是我在路由器上设置了防火墙或攻击防护等,您的计算机就不会中病毒)

在开启攻击防护时,必须开启路由器“防火墙总开关”,选中对应的“开启攻击防护”:

在菜单中的“安全设置”-“攻击防护”中,可以看到路由器针对各种 *** 攻击的防护及设置;

其中分别针对各种常见的 *** 攻击进行防护:正确设置各种防护的阈值,可以有效的对各种攻击进行防护。请根据您的 *** 环境进行相应的设置,一般可以使用路由器默认的值,或者可以自己进行设置。在设置的时候,阈值不要设置过小,会导致拦截过高,有可能把 *** 中正常的数据包误认为非法的数据包,使您的 *** 不能正常使用;阈值也不要设置过大,这样会起不到攻击防护的效果。

在区域的设置中,可以选择LAN和WAN,若选择LAN表示对来自局域网的数据包进行监控;而选择WAN表示对来自外网的数据包进行监控。

1、扫描类的攻击防护主要有三类:IP扫描,端口扫描,IP欺骗。

其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的之一个步骤,攻击者可以利用IP扫描和端口扫描来获取目标 *** 的主机信息和目标主机的端口开放情况,然后对某主机或者某主机的某端口发起攻击,对扫描进行预先的判断并保护可以有效的防止攻击。我司企业级路由器对扫描类攻击的判断依据是:设置一个时间阈值(微秒级),若在规定的时间间隔内某种数据包的数量超过了10个,即认定为进行了一次扫描,在接下来的两秒时间里拒绝来自同一源的这种扫描数据包。阈值的设置一般建议尽可能的大,更大值为一秒,也就是1000000微妙,一般推荐0.5-1秒之间设置。(阈值越大,防火墙对扫描越“敏感”)

下面为路由器没有开启攻击防护下,使用端口扫描工具进行扫描的结果

开启了路由器的“攻击防护”

此时进行端口扫描的结果为

通过抓包分析,路由器检测到了有端口扫描攻击,进行了相应的攻击防护,扫描工具没有接收到前端计算机返回的信息,所以在端口扫描的时候,无法完成端口扫描。此时。路由器发送了一个系统日志给日志服务器,检测到有攻击的存在。

在开启了防火墙的攻击防护后,扫描软件扫描不正确。但路由器每次的扫描判断允许十个扫描数据包通过,因此有可能目的计算机开放的端口刚好在被允许的十个数据包之中,也能被扫描到,但这种几率是微乎其微的。

日志服务器上记录显示有端口扫描攻击

关于日志服务器的使用,请参考《日志服务器的安装与使用》,日志中很清晰的记录了内网电脑192.168.1.100有端口扫描的行为。

2、DoS类的攻击主要有:ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。

拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源,目标主机被迫全力处理虚假信息流,从而影响对正常信息流的处理。如果攻击来自多个源地址,则称为分布式拒绝服务DDoS。

企业级路由器对DoS类攻击的判断依据为:设置一个阈值(单位为每秒数据包个数PPS=Packet Per Second),如果在规定的时间间隔内(1秒),某种数据包超过了设置的阈值,即认定为发生了一次洪泛攻击,那么在接下来2秒的时间内,忽略掉下来自相同攻击源的这一类型数据包。

这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反,值越小越“敏感”,但一般也不能太小,正常的应用不能影响,我们可以根据自己的环境在实际的应用中动态调整。

下面为一个ICMP的例子,在路由器没有开启攻击防护的情况下,ping前端的计算机

使用发包工具,对前端的计算机进行1000pps的ping操作,通过抓包可以看到,前端的计算机都有回应。

而开启了路由器攻击防护的ICMP Flood攻击防护,设置阈值为100pps。

此时进行抓包分析

路由器检测到了有ICMP Flood攻击存在,发送了一个日志给日志服务器,在以后的ping请求中,都没有得到回应。有效地防止了ICMP Flood攻击。

日志服务器中,也可以查看到相应的攻击信息

3、可疑包类防护包括五类:大的ICMP包(大于1024字节)、没有Flag的TCP包、同时设置SYN和FIN的TCP包、仅设置 FIN 而没有设置ACK的TCP包、未知协议。

4、含有IP选项的包防护:在 Internet Protocol 协议(RFC 791)中,指定了一组选项以提供特殊路由控制、诊断工具和安全性。

它是在 IP 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的”。在实际使用中,它们也很少出现在 IP 包头中。这些选项经常被用于某些恶意用途。

IP选项包括。

选中一项IP选项的复选框,则检查;清除选项的选择,则取消检查。

一般情况下上面两部分的数据包是不会出现的,属于非正常的包,可能是病毒或者攻击者的试探,路由器在设置了相应的攻击防护的话会将对应的数据包丢弃。

本文主要介绍了企业级路由器的攻击防护的处理机制以及效果,通过举了几个例子进行详细地描述。例子中使用的参数只为测试使用,并不一定符合实际的使用环境,在具体的使用过程中,还需要根据您的实际 *** 使用环境进行调试,找到一个合理的阈值,才能有效的保护您的 *** 。

路由器攻击防护功能设置的相关 文章 :

1. 路由器如何防止ARP病毒攻击

2. 路由器攻击如何防护

3. 怎样使用路由器防止DoS攻击

4. 路由器怎么防止被攻击

维盟路由器ddos禁止连接怎么解除

维盟路由器ddos禁止连接解除:

1、先将维盟路由器、网线和电脑连接好,并打开电源。

2、打开浏览器,在地址栏输入ip地址、输入登录用户名和密码。

3、登录成功后就进入到维盟路由器的管理界面,点击无线设置。

4、再点击解除绑定即可。

路由器总是显示本机DDOS攻击

路由器上的防火墙主要是针对外网的。。功能是防止DDoS攻击。可以开启。说实话。。你的这个路由器做不了防ARP攻击。从之一页开始说。。Ping服务之一项是忽略wan的Ping包。主要的功能是可以禁止别人通过外网来查询你的ping的状态。但arp对方照样可以学到。。如果是在internat开与不开无所谓。。第二项是禁止内网的ping包通过路由器到达对端。比如你想ping一个外网的或DNS服务器。如果这里开启了。你则ping不通上述的两台服务器。这对发生 *** 故障进行排错时,造成了一定的麻烦。建议不开启。第二页。。防火墙设置之一项开启防火墙。如果是通过拔号连通的外网。。我建议你开启此项。。如果你对外网的 *** 环境比较熟悉。。可以不开启。。毕竟开启防火墙会稍微影响 *** 速度。。但对拔号用户可以忽略不计的。反正都够慢的了。。还在忽再慢一点吗。。呵呵。。第二项。开启IP地址过滤。建议不要开启。。这是限制某一段的IP地址不允许通过路由器。如果你对外网不熟悉。或你是拔号用户。建议你不要开启此项。。否则很可能造成有的网页你打不开。。还找不到原因。第三项。开启域名过滤。这是很好理解。。就是说。。哪个域名的网页可以浏览,哪些不允许。。这个要看你的具体情况。。比如你家里有孩子。。不想让孩子上黄赌毒的网站。。你就可以在这里进行限制。禁止上述的网页通过路由器。第四项。主要是针对内网的。通过描述你也应该清楚的了解到。。哪些MAC地址的PC可以通过路由访问Internat *** 。。哪些不允许。。配置此项要看自己的具体情况。。如果你的内网中,还有很多的PC。。你只想让其中某一台PC,连接到Internat那你就是可以选择[仅允许],并把那台PC的MAC地址写进去即可。

0条大神的评论

发表评论