Cisco路由器防止分布式拒绝服务攻击

1、使用 ip verfy unicast reverse-path 网络接口命令

  这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。

  单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF 需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。

  在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中,但不支持Cisco IOS 11.2或11.3版本。

2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址

  参考以下例子:

  interface xy

  ip access-group 101 in

  access-list 101 deny ip 10.0.0.0 0.255.255.255 any

  access-list 101 deny ip 192.168.0.0 0.0.255.255 any

  access-list 101 deny ip 172.16.0.0 0.15.255.255 any

  access-list 101 permit ip any any

3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文

  参考以下例子:

  {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

  ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:

  access-list 190 permit ip {客户端网络} {客户端网络掩码} any

  access-list 190 deny ip any any [log]

  interface {内部网络接口} {网络接口号}

  ip access-group 190 in

  以下是客户端边界路由器的ACL例子:

  access-list 187 deny ip {客户端网络} {客户端网络掩码} any

  access-list 187 permit ip any any

  access-list 188 permit ip {客户端网络} {客户端网络掩码} any

  access-list 188 deny ip any any

  interface {外部网络接口} {网络接口号}

  ip access-group 187 in

  ip access-group 188 out

  如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。

4、使用CAR(Control Access Rate)限制ICMP数据包流量速率

  参考以下例子:

  interface xy

  rate-limit output access-group 2020 3000000 512000 786000 conform-action

  transmit exceed-action drop

  access-list 2020 permit icmp any any echo-reply

5、设置SYN数据包流量速率

  interface {int}

  rate-limit output access-group 153 45000000 100000 100000 conform-action

  transmit exceed-action drop

  rate-limit output access-group 152 1000000 100000 100000 conform-action

  transmit exceed-action drop

  access-list 152 permit tcp any host eq www

  access-list 153 permit tcp any host eq www established

  在实现应用中需要进行必要的修改,替换:

  45000000为最大连接带宽

  1000000为SYN flood流量速率的30%到50%之间的数值。

  burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。

  注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。

  警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。

  另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

6、搜集证据并联系网络安全部门或机构

  如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:

  tcpdump -i interface -s 1500 -w capture_file

  snoop -d interface -o capture_file -s 1500

  本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • Cisco路由器防止分布式拒绝服务攻击

    1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它. 单一地址反向传输路径转发(Unicast

  • 巧妙的化解DDoS分布式拒绝服务攻击

    对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题. 一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标.和交通堵塞一样,DDoS已经成为一种网络公害. 传统防护:有心无力 防止DDoS攻击,比较常用的有黑洞法.设置路由访问控制列表过滤和串联防火墙安全设备等几种 黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放

  • 攻击CISCO路由器

    原文来自BlackSun,梦醒时分翻译.这是一篇非常好的文章,很高兴能和大家共享! 警告: 不要用这破坏cisco系统,或非法访问系统.这篇文章只是以学习为目的.只可以用在合法行为,不能破坏任何系统.这篇文章将一步一步的向你展示如何利用发现的缺陷来获得非法访问.如果你攻入了一个cisco路由器,或者扰乱了系统,将会中断数百个网络客户机,造成大量损失.所以,只可以在被允许的情况下进行,否则你将会有许多麻烦! ---------------------------------------------

  • Cisco路由器上如何防止DDoS

    来源:Cisco Security Advisories 翻译/整理:backend <backend@antionline.org> Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议 -------------------------------------------------- 1.使用 ip verfy unicast reverse-path 网络接口命令 -------------------------------------------------- 这个功能检

  • Cisco路由器的安全配置

    目前大多数的企事业单位和部门连Internet网,通常都是一台路由器与ISP连结实现.这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障.现在大多数的路由器都是Cisco公司的产品或与其功能近似,本文在这里就针对Cisco路由器的安全配置进行管理. 考虑到路由器的作用和位置, 路由器配置的好坏不仅影响本身的安全也影响整个网络的安全.目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访

  • 让路由器远离字典DoS攻击

    让路由器远离字典DoS攻击 针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器.在本文中,你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击. 你可能还没有认识到使用针对Telnet.SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器.事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理. 当然,在公网中开放这些端口要比在私网中开放这些端

  • Cisco 路由器常用命令

    Cisco 路由器常用命令 1 Exec commands: <1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互

  • Cisco路由器的基本配置

    随着IT业的飞速发展,Cisco路由器被广泛应用于各行各业,本文将从基础配置入手,简单介绍一下Cisco路由器的配置方法. 一.配置以太网端口 # conf t 从终端配置路由器(Cisco的各种命令均可以简写,只要不与其他命令重复即可,如configure terminal可以写成conf t). # int e0 指定E0口. # ip addr ABCD XXXX ABCD为以太网地址,XXXX为子网掩码. # ip addr ABCD XXXX secondary E0口可同时支持多个地

  • Cisco路由器配置信息及口令的清除

    Cisco 路由器配置信息及口令的清除 适用范围:所有IOS在10.0及以上版本的Cisco 2000.2500.3000.4000.7000系列路由器.   清除步骤如下:   1.用路由器所带的串口线连接到Console口,以下通过Win95的超级终端进行:   2.路由器加电后60秒内,按下CTRL(如果不行按CTRL-BREAK)键,等待出现"〉"提示符:   3.键入"〉e/s 2000002"命令,并记录下返回值,用在后面"Router(con

  • CISCO路由器初始配置简介

    很多初学路由器知识的网友对路由器的初始配置可能感到很陌生,本人在初学时也很困惑,因为一下出来很多提问不知如何是好,下面将最近刚调试的一台CISCO3640的初始配置整理出来与各位网友交流,如有疏漏之处,还请大家指正. 1.用CISCO随机带CONSOLE线,一端连在CISCO路由器的CONSOLE口,一端连在计算机的COM口. 2.打开电脑,启动超级终端.为您的连接取个名字,比如CISCO_SETUP,下一步选定连接时用COM1,下一步选定第秒位数9600,数据位8,奇偶校验无,停止位1,数据流

随机推荐