當(dāng)前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

保护路由器如何才能防止网络黑客入侵如何防止路由器dos网络

發(fā)布時(shí)間：2023/12/3 综合教程 40 生活家

生活随笔收集整理的這篇文章主要介紹了保护路由器如何才能防止网络黑客入侵如何防止路由器dos网络小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

內(nèi)容導(dǎo)航：

保護(hù)路由器如何才能防止網(wǎng)絡(luò)黑客入侵
如何防止dos攻擊

一、保護(hù)路由器如何才能防止網(wǎng)絡(luò)黑客入侵

更新路由器操作系統(tǒng)：就像網(wǎng)絡(luò)操作系統(tǒng)一樣，路由器操作系統(tǒng)也需要更新，以便糾正編程錯(cuò)誤、軟件瑕疵和緩存溢出的問題。

要經(jīng)常向路由器廠商查詢當(dāng)前的更新和操作系統(tǒng)的版本。
修改默認(rèn)的口令：據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。

避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。
禁用HTTP設(shè)置和SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）：你的路由器的HTTP設(shè)置部分對(duì)于一個(gè)繁忙的網(wǎng)絡(luò)管理員來說是很容易設(shè)置的。

但是，這對(duì)路由器來說也是一個(gè)安全問題。

如果路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用這種設(shè)置方式。

如果你沒有使用路由器上的SNMP,那么就不需要啟用這個(gè)功能。
封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請(qǐng)求：ping和其它ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。

黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網(wǎng)絡(luò)的信息。
禁用來自互聯(lián)網(wǎng)的telnet命令：在大多數(shù)情況下，不需要來自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。

如果從內(nèi)部訪問路由器設(shè)置會(huì)更安全一些。

二、如何防止dos攻擊

擊手段，它通過獨(dú)占網(wǎng)絡(luò)資源、使其他主機(jī)不能進(jìn)行正常訪問，從而導(dǎo)致宕機(jī)或網(wǎng)絡(luò)癱瘓。

DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種，在Smurf攻擊中，攻擊者使用ICMP數(shù)據(jù)包阻塞服務(wù)器和其他網(wǎng)絡(luò)資源;SYN Flood攻擊使用數(shù)量巨大的TCP半連接來占用網(wǎng)絡(luò)資源;Fraggle攻擊與Smurf攻擊原理類似，使用UDP echo請(qǐng)求而不是ICMP echo請(qǐng)求發(fā)起攻擊。

盡管網(wǎng)絡(luò)安全專家都在著力開發(fā)阻止DoS攻擊的設(shè)備，但收效不大，因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。

正確配置路由器能夠有效防止DoS攻擊。

以Cisco路由器為例，Cisco路由器中的IOS軟件具有許多防止DoS攻擊的特性，保護(hù)路由器自身和內(nèi)部網(wǎng)絡(luò)的安全。

使用擴(kuò)展訪問列表

擴(kuò)展訪問列表是防止DoS攻擊的有效工具。

它既可以用來探測(cè)DoS攻擊的類型，也可以阻止DoS攻擊。

Show ip access-list命令能夠顯示每個(gè)擴(kuò)展訪問列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DoS攻擊的種類。

如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請(qǐng)求，這表明網(wǎng)絡(luò)受到了SYN Flood攻擊，這時(shí)用戶就可以改變?cè)L問列表的配置，阻止DoS攻擊。

使用QoS

使用服務(wù)質(zhì)量?jī)?yōu)化(QoS)特征，如加權(quán)公平隊(duì)列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊(duì)列(CQ)等，都可以有效阻止DoS攻擊。

需要注意的是，不同的QoS策略對(duì)付不同DoS攻擊的效果是有差別的。

例如，WFQ對(duì)付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因?yàn)镻ing Flood通常會(huì)在WFQ中表現(xiàn)為一個(gè)單獨(dú)的傳輸隊(duì)列，而SYN Flood攻擊中的每一個(gè)數(shù)據(jù)包都會(huì)表現(xiàn)為一個(gè)單獨(dú)的數(shù)據(jù)流。

此外，人們可以利用CAR來限制ICMP數(shù)據(jù)包流量的速度，防止Smurf攻擊，也可以用來限制SYN數(shù)據(jù)包的流量速度，防止SYN Flood攻擊。

使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對(duì)DoS攻擊的不同類型采取相應(yīng)的防范措施。

使用單一地址逆向轉(zhuǎn)發(fā)

逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個(gè)輸入功能，該功能用來檢查路由器接口所接收的每一個(gè)數(shù)據(jù)包。

如果路由器接收到一個(gè)源IP地址為10.10.10.1的數(shù)據(jù)包，但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會(huì)丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。

使用RPF功能需要將路由器設(shè)為快速轉(zhuǎn)發(fā)模式(CEF switching)，并且不能將啟用RPF功能的接口配置為CEF交換。

RPF在防止IP地址欺騙方面比訪問列表具有優(yōu)勢(shì)，首先它能動(dòng)態(tài)地接受動(dòng)態(tài)和靜態(tài)路由表中的變化;第二RPF所需要的操作維護(hù)較少;第三RPF作為一個(gè)反欺騙的工具，對(duì)路由器本身產(chǎn)生的性能沖擊，要比使用訪問列表小得多。

使用TCP攔截

Cisco在IOS 11.3版以后，引入了TCP攔截功能，這項(xiàng)功能可以有效防止SYN Flood攻擊內(nèi)部主機(jī)。

在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過攔截和驗(yàn)證來阻止這種攻擊。

TCP攔截可以在攔截和監(jiān)視兩種模式下工作。

在攔截模式下，路由器攔截到達(dá)的TCP同步請(qǐng)求，并代表服務(wù)器建立與客戶機(jī)的連接，如果連接成功，則代表客戶機(jī)建立與服務(wù)器的連接，并將兩個(gè)連接進(jìn)行透明合并。

在整個(gè)連接期間，路由器會(huì)一直攔截和發(fā)送數(shù)據(jù)包。

對(duì)于非法的連接請(qǐng)求，路由器提供更為嚴(yán)格的對(duì)于half-open的超時(shí)限制，以防止自身的資源被SYN攻擊耗盡。

在監(jiān)視模式下，路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求，如果連接超過了所配置的建立時(shí)間，路由器就會(huì)關(guān)閉此連接。

在Cisco路由器上開啟TCP攔截功能需要兩個(gè)步驟:一是配置擴(kuò)展訪問列表，以確定需要保護(hù)的IP地址;二是開啟TCP攔截。

配置訪問列表是為了定義需要進(jìn)行TCP攔截的源地址和目的地址，保護(hù)內(nèi)部目標(biāo)主機(jī)或網(wǎng)絡(luò)。

在配置時(shí)，用戶通常需要將源地址設(shè)為any，并且指定具體的目標(biāo)網(wǎng)絡(luò)或主機(jī)。

如果不配置訪問列表，路由器將會(huì)允許所有的請(qǐng)求經(jīng)過。

使用基于內(nèi)容的訪問控制

基于內(nèi)容的訪問控制(CBAC)是對(duì)Cisco傳統(tǒng)訪問列表的擴(kuò)展，它基于應(yīng)用層會(huì)話信息，智能化地過濾TCP和UDP數(shù)據(jù)包，防止DoS攻擊。

CBAC通過設(shè)置超時(shí)時(shí)限值和會(huì)話門限值來決定會(huì)話的維持時(shí)間以及何時(shí)刪除半連接。

對(duì)TCP而言，半連接是指一個(gè)沒有完成三階段握手過程的會(huì)話。

對(duì)UDP而言，半連接是指路由器沒有檢測(cè)到返回流量的會(huì)話。

CBAC正是通過監(jiān)視半連接的數(shù)量和產(chǎn)生的頻率來防止洪水攻擊。

每當(dāng)有不正常的半連接建立或者在短時(shí)間內(nèi)出現(xiàn)大量半連接的時(shí)候，用戶可以判斷是遭受了洪水攻擊。

CBAC每分鐘檢測(cè)一次已經(jīng)存在的半連接數(shù)量和試圖建立連接的頻率，當(dāng)已經(jīng)存在的半連接數(shù)量超過了門限值，路由器就會(huì)刪除一些半連接，以保證新建立連接的需求，路由器持續(xù)刪除半連接，直到存在的半連接數(shù)量低于另一個(gè)門限值;同樣，當(dāng)試圖建立連接的頻率超過門限值，路由器就會(huì)采取相同的措施，刪除一部分連接請(qǐng)求，并持續(xù)到請(qǐng)求連接的數(shù)量低于另一個(gè)門限值。

通過這種連續(xù)不斷的監(jiān)視和刪除，CBAC可以有效防止SYN Flood和Fraggle攻擊。

路由器是企業(yè)內(nèi)部網(wǎng)絡(luò)的第一道防護(hù)屏障，也是黑客攻擊的一個(gè)重要目標(biāo)，如果路由器很容易被攻破，那么企業(yè)內(nèi)部網(wǎng)絡(luò)的安全也就無從談起，因此在路由器上采取適當(dāng)措施，防止各種DoS攻擊是非常必要的。

用戶需要注意的是，以上介紹的幾種方法，對(duì)付不同類型的DoS攻擊的能力是不同的，對(duì)路由器CPU和內(nèi)存資源的占用也有很大差別，在實(shí)際環(huán)境中，用戶需要根據(jù)自身情況和路由器的性能來選擇使用適當(dāng)?shù)姆?/p>

總結(jié)

以上是生活随笔為你收集整理的保护路由器如何才能防止网络黑客入侵如何防止路由器dos网络的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：校园网怎么安装路由器校园卡如何安装路由器
下一篇：路由器设置固定ip地址怎么设置路由器如何