Cisco路由器的用戶非常多���,這里我們主要介紹如何讓Cisco路由器遠(yuǎn)離DoS攻擊。針對(duì)路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權(quán)或者可能導(dǎo)致用戶無法使用路由器����。在本文中,你可以找到如何使用Cisco 網(wǎng)絡(luò)操作系統(tǒng)的增強(qiáng)登陸功能來防止這種攻擊��。
你可能還沒有認(rèn)識(shí)到使用針對(duì)Telnet����、SSH或者HTTP端口的字典式拒絕服務(wù)的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實(shí)上�,我敢打賭,即便是大多數(shù)網(wǎng)絡(luò)管理員沒有全部打開這些端口,那么他至少也會(huì)打開其中一個(gè)端口用于Cisco路由器的管理�。
當(dāng)然���,在公網(wǎng)中開放這些端口要比在私網(wǎng)中開放這些端口危險(xiǎn)的多��。但是��,無論是對(duì)公網(wǎng)開放還是對(duì)私網(wǎng)開放這些端口����,你都需要保護(hù)你的路由器防止它們受到字典DoS攻擊��,通過這種攻擊��,攻擊者可能獲得路由器的訪問權(quán)或者在你的網(wǎng)絡(luò)中創(chuàng)建一個(gè)簡(jiǎn)單的服務(wù)出口����。不過由于在網(wǎng)絡(luò)操作系統(tǒng) 12.3(4)T以及以后的版本中都有了增強(qiáng)的登陸功能,因此你可以為你的Cisco路由器提供額外的保護(hù)�。這些新的增強(qiáng)的登陸功能提供以下各個(gè)方面的優(yōu)勢(shì):在發(fā)現(xiàn)連續(xù)登陸嘗試后,創(chuàng)建一個(gè)登陸延遲�。如果出現(xiàn)太多的登陸嘗試失敗的話,將不再允許登陸���。
在系統(tǒng)日志中創(chuàng)建相應(yīng)的登陸信息或者發(fā)送SNMP陷阱來警告和記錄有關(guān)失敗和不允許登陸的額外信息����。如何知道你的Cisco路由器中是否包含這些代碼?最簡(jiǎn)單的查找方法是到"全局配置模式(Global Configuration Mode)并且輸入"login(登陸)""�����,這個(gè)命令將返回一個(gè)選擇列表����,具體顯示如下:
block-for--用于設(shè)置安靜模式活動(dòng)時(shí)間周期。
delay--用于設(shè)置連續(xù)失敗登陸的時(shí)間間隔��。
on-failure--用于設(shè)置試圖登陸失敗后的選項(xiàng)����。
on-sucess--用于設(shè)置試圖登陸成功后的選項(xiàng)。
quiet-mode--用于設(shè)置安靜模式的選項(xiàng)�����。
如果你的路由器中的網(wǎng)絡(luò)操作系統(tǒng)中沒有這個(gè)代碼�����,它將返回一個(gè)"無法識(shí)別的命令"錯(cuò)誤。如果你的路由器中沒有這個(gè)功能�,那么使用Cisco 網(wǎng)絡(luò)操作系統(tǒng)的特征導(dǎo)航來為你的路由器找到這個(gè)功能(參照Cisco 網(wǎng)絡(luò)操作系統(tǒng)增強(qiáng)登陸功能)你還可以使用這個(gè)工具來查找你所需要的其他功能。記住��,下載網(wǎng)絡(luò)操作系統(tǒng)代碼和訪問特征導(dǎo)航工具需要Cisco的維護(hù)合同�。用于配置這些功能的最基本的基表的命令是login block-for命令��,這也是唯一的命令���。一旦你激活了這個(gè)命令�,其缺省的登陸延遲時(shí)間是一秒���。在你指定的時(shí)間內(nèi)��,如果試圖登陸的最大次數(shù)超過你所給定的次數(shù)的話��,系統(tǒng)將拒絕所有的登陸嘗試�����。在全局配置模式下,執(zhí)行下面的命令:
缺省情況下登陸延遲時(shí)間是一秒鐘��。
沒有配置安靜模式訪問列表。
路由器激活了登陸攻擊監(jiān)控程序����。
如果在60秒左右的時(shí)間內(nèi)有五次登陸失敗的話,
系統(tǒng)將禁用登陸操作120秒�。
路由器目前處于正常模式。
目前的監(jiān)控窗口還有54秒鐘���。
目前的登陸失敗次數(shù)為0���。
這些信息顯示了你的設(shè)置,包括缺省的登陸延遲時(shí)間為一秒鐘���,以及其他的附加信息���。它還告訴你目前路由器處于正常模式,這意味著路由器目前還允許你登陸����。如果Cisco路由器認(rèn)為有人對(duì)其進(jìn)行攻擊,它將進(jìn)入安靜模式����,并且開始拒絕所有的登陸操作����。你還可以配置一個(gè)ACL��,在其中說明這個(gè)路由器對(duì)哪些主機(jī)和網(wǎng)絡(luò)例外��,無論是處于安靜模式還是處于其他狀態(tài)���,都允許這些主機(jī)和網(wǎng)絡(luò)登陸Cisco路由器。
下面是這些命令中用于配置系統(tǒng)的一些選項(xiàng):
登陸延遲(數(shù)字): 在失效登陸后增加延遲的秒數(shù)����。你可以選擇1到10之間的任何數(shù)字。
登陸失敗和登陸成功:這些選項(xiàng)允許你選擇在登陸成功或者失敗時(shí)使用的日志和SNMP警告的類型����。
登陸安靜模式訪問類(ACL數(shù)字):增加ACL數(shù)字,使用這個(gè)選項(xiàng)可以增加一個(gè)隔絕列表����,無論Cisco路由器處于安靜模式還是處于正常模式����,這個(gè)列表中的主機(jī)和網(wǎng)絡(luò)都可以登陸路由器����。
通常情況下�����,為了安全,我建議在所有的路由器上都激活login block-for選項(xiàng)��。這些新功能將可以幫助你更好的保證路由器的安全��。
如果你正好從事這方面的工作��,并且你還沒有做好準(zhǔn)備的話�����,那么可以考慮只在路由器上使用SSH并且只允許從內(nèi)網(wǎng)訪問。SSH加密所有從PC到路由器的通信信息(包括用戶名和密碼)���。
關(guān)鍵詞標(biāo)簽:Cisco,路由器,DoS攻擊
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置