让路由器远离字典DoS攻击

让路由器远离字典DoS攻击

针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器。在本文中,你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击。

你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器。事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理。

当然,在公网中开放这些端口要比在私网中开放这些端口危险的多。但是,无论是对公网开放还是对私网开放这些端口,你都需要保护你的路由器防止它们受到字典DoS攻击,通过这种攻击,攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。

不过由于在网络操作系统 12.3(4)T以及以后的版本中都有了增强的登陆功能,因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势:

在发现连续登陆尝试后,创建一个登陆延迟。

如果出现太多的登陆尝试失败的话,将不再允许登陆。

在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。
如何知道你的路由器中是否包含这些代码?最简单的查找方法是到"全局配置模式(Global Configuration Mode)并且输入"login(登陆)"",这个命令将返回一个选择列表,具体显示如下:

block-for--用于设置安静模式活动时间周期。

delay--用于设置连续失败登陆的时间间隔。

on-failure--用于设置试图登陆失败后的选项。

on-sucess--用于设置试图登陆成功后的选项。

quiet-mode--用于设置安静模式的选项。
如果你的路由器中的网络操作系统中没有这个代码,它将返回一个"无法识别的命令"错误。

如果你的路由器中没有这个功能,那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能(参照Cisco 网络操作系统增强登陆功能)你还可以使用这个工具来查找你所需要的其他功能。记住,下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。

用于配置这些功能的最基本的基表的命令是login block-for命令,这也是唯一的命令。一旦你激活了这个命令,其缺省的登陆延迟时间是一秒。在你指定的时间内,如果试图登陆的最大次数超过你所给定的次数的话,系统将拒绝所有的登陆尝试。

在全局配置模式下,执行下面的命令:

login block-for (在多长时间内拒绝所有的登陆尝试)

attempts (如果登陆的次数超过此数)within (在多少秒以内)

下面给出一个例子

login block-for 120 attempts 5 within 60

该命令对系统进行如下配置:如果在60秒以内有五次登陆失败的话,路由器系统将在120秒以内拒绝所有的登陆。如果此时你输入show login的话,你将接收到以下输出信息:

缺省情况下登陆延迟时间是一秒钟。
没有配置安静模式访问列表。

路由器激活了登陆攻击监控程序。
如果在60秒左右的时间内有五次登陆失败的话,
系统将禁用登陆操作120秒。

路由器目前处于正常模式。
目前的监控窗口还有54秒钟。
目前的登陆失败次数为0。

这些信息显示了你的设置,包括缺省的登陆延迟时间为一秒钟,以及其他的附加信息。它还告诉你目前路由器处于正常模式,这意味着路由器目前还允许你登陆。

如果路由器认为有人对其进行攻击,它将进入安静模式,并且开始拒绝所有的登陆操作。你还可以配置一个ACL,在其中说明这个路由器对哪些主机和网络例外,无论是处于安静模式还是处于其他状态,都允许这些主机和网络登陆路由器。

下面是这些命令中用于配置系统的一些选项:

登陆延迟(数字): 在失效登陆后增加延迟的秒数。你可以选择1到10之间的任何数字。

登陆失败和登陆成功:这些选项允许你选择在登陆成功或者失败时使用的日志和SNMP警告的类型。

登陆安静模式访问类(ACL数字):增加ACL数字,使用这个选项可以增加一个隔绝列表,无论路由器处于安静模式还是处于正常模式,这个列表中的主机和网络都可以登陆路由器。
通常情况下,为了安全,我建议在所有的路由器上都激活login block-for选项。这些新功能将可以帮助你更好的保证路由器的安全。

如果你正好从事这方面的工作,并且你还没有做好准备的话,那么可以考虑只在路由器上使用SSH并且只允许从内网访问。SSH加密所有从PC到路由器的通信信息(包括用户名和密码)。

要想得到这些新特征的全部命令的参考信息,请登陆到Cisco IOS Login Enhancements Documentation 。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 让路由器远离字典DoS攻击

    让路由器远离字典DoS攻击 针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器.在本文中,你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击. 你可能还没有认识到使用针对Telnet.SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器.事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理. 当然,在公网中开放这些端口要比在私网中开放这些端

  • 基于DoS攻击的随机数据包标记源跟踪算法

    作者:饥饿加菲猫(QQ120474) iojhgfti@hotmail.com 摘要: 针对互联网上日益猖獗的拒绝服务攻击(DoS),分析了传统的随机数据包标记算法的性能缺陷,提出一种新的基于散列消息鉴别码的返回跟踪算法HPPM,通过分析其性能指标,说明该算法提高了返回跟踪DoS攻击的效率和准确性. 感谢帮过我的几个高手袁哥[nsfocus], sunwear[E.S.T] , isno[xfocus] , scz[nsfocus] 1.引言 拒绝服务攻击,简称DoS(Denial-of-Ser

  • 三层交换阻击DoS攻击

    尽管全球网络安全专家都在着力开发抗DoS攻击的办法,但收效不大,因为DoS攻击利用了TCP协议本身的弱点.在交换机上进行设置,并安装专门的DoS识别和预防工具,能最大限度地减少DoS攻击造成的损失. 利用三层交换建立全面的网络安全体系,其基础必须是以三层交换和路由为核心的智能型网络,有完善的三层以上的安全策略管理工具.同时,在网络的设计阶段,就应该进行合理布置. 局域网层 在局域网层上,网管员可采取很多预防措施.例如,尽管完全消除IP分组假冒现象几乎不可能,但网管员可构建过滤器,如果数据带有内部

  • Python检测和防御DOS攻击的最简单方法

    Python检测和防御DOS攻击的最简单方法

    目录 一.在CentOS上安装Python3 1.下载Python3.10源代码文件 2.运行以下命令行完成安装 3.确认是否安装成功 4.设置环境变量 5.配置pip国内镜像源 二.理解各个命令的含义 1.uptime 2.netstat 3.ss 4.firewall-cmd 5.sysctl 三.利用Python实现DDOS入侵检测 1.采集TCP连接数据 一.在CentOS上安装Python3 1.下载Python3.10源代码文件 下载地址:https://www.python.org

  • 让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

    让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

    Ajax与pjax AJAX即"Asynchronous Javascript And XML"(异步JavaScript和XML),是一种用于创建快速动态网页的技术.通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新.这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新-无刷新操作. 但是,ajax应用也会造成另外的问题,容易导致浏览器无法前进与后退,这是个很头疼的问题,开发人员必须增加工作量(比如通过一个隐藏的iframe,或者改变location.ha

  • Cisco路由器防止分布式拒绝服务攻击

    1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它. 单一地址反向传输路径转发(Unicast

  • php DOS攻击实现代码(附如何防范)

    index.php 复制代码 代码如下: <?php $ip = $_SERVER['REMOTE_ADDR']; ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="content

  • Cisco路由入侵艺术

    奔流不息的网络里,Web绽放着绚丽的色彩.电子邮件呼哧的穿梭网际.语音电话.网络会议.文件传输,各种数据交织错落,形成辉煌的数字世界.在喧闹的数字世界底层,存在一种精致的次序,这种次序决定着数据的选路.异构介质衔接.协议的交互等功能.而这一次序的缔造者正是布满整个网络的路由器.于是,路由器成了数据通信的交通亭,也成为了众多黑帽(Blackhat)争夺的目标之一. Cisco路由器占据这网络世界的绝对位置,于是安全焦点效应激发了路由入侵与防御而产生的精美艺术.下面我将由浅入深的方式讲述Cisco入

  • 攻击CISCO路由器

    原文来自BlackSun,梦醒时分翻译.这是一篇非常好的文章,很高兴能和大家共享! 警告: 不要用这破坏cisco系统,或非法访问系统.这篇文章只是以学习为目的.只可以用在合法行为,不能破坏任何系统.这篇文章将一步一步的向你展示如何利用发现的缺陷来获得非法访问.如果你攻入了一个cisco路由器,或者扰乱了系统,将会中断数百个网络客户机,造成大量损失.所以,只可以在被允许的情况下进行,否则你将会有许多麻烦! ---------------------------------------------

  • 确保Linux服务器安全 防范四种级别攻击

    随着Linux企业应用的不断扩展. 有大量的网络服务器都在使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注. 这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权

随机推荐