學習啦 > 學習電腦 > 電腦技巧 > 思科路由器IP源地址的攻擊的解決方案

思科路由器IP源地址的攻擊的解決方案

時間: 家輝661 分享

思科路由器IP源地址的攻擊的解決方案

  對于思科路由器IP源地址受到攻擊,下面學習案例小編就為大家介紹一下具體的方法吧,歡迎大家參考和學習。

  IP源地址欺騙可以應用在多種不同的攻擊方式中,例如TCP SYN flooding、UDP flooding、ICMP flooding等,偽造的源地址可以是不存在的地址,或者是最終攻擊目標的地址。

  具體的解決方法如下:

  一、在UDP flooding中,攻擊者則是通過連接目標系統(tǒng)的changen端口到偽造源地址指向的主機的echo端口,導致changen端口產(chǎn)生大量的隨機字符到echo端口,而echo端口又將接收到的字符返回,最后導致兩個系統(tǒng)都因耗盡資源而崩潰。

  二、為了防御UDP flooding,我們必須防止路由器的診斷端口或服務向管理域之外的區(qū)域開放,如果不需要使用這些端口或者服務,應該將其關閉,防止IP源地址欺騙的最有效方法就是驗證源地址的真實性,在Cisco路由器上,我們可以采用下列兩種方法:

  1、在網(wǎng)絡邊界實施對IP源地址欺騙的過濾,阻止IP源地址欺騙的一個最簡單有效的方法是通過在邊界路由器使用向內的訪問列表,限制下游網(wǎng)絡發(fā)進來的數(shù)據(jù)包確實是在允許接受的地址范圍,不在允許范圍的數(shù)據(jù)將被刪除。同時,為了追溯攻擊者,可以使用log記錄被刪除的數(shù)據(jù)信息 。

  2、使用反向地址發(fā)送,使用訪問控制列表在下游入口處做ip限制,是基于下游ip地址段的確定性,但在上游入口處,流入數(shù)據(jù)的ip地址范圍有時是難于確定的。在無法確定過濾范圍時,一個可行的方法是使用反向地址發(fā)送。

  三、uRPF的工作原理是:當路由器在一個接口上收到一個數(shù)據(jù)包時,它會查找CEF(Cisco Express Forward)表,驗證是否存在從該接收接口到包中指定的源地址之間的路由,即反向查找路徑,驗證其真實性,如果不存在這樣的路徑就將數(shù)據(jù)包刪除,相比訪問控制列表,uRPF具有很多優(yōu)點,例如:耗費CPU資源少、可以適應路由器路由表的動態(tài)變化(因為CEF表會跟隨路由表的動態(tài)變化而更新),所以維護量更少,對路由器的性能影響較小。

  四、在攻擊中,攻擊者將ping數(shù)據(jù)包發(fā)向一個網(wǎng)絡的廣播地址,路由器在接收到該廣播包之后,默認會將這個第三層廣播轉換成第二層廣播,而該廣播網(wǎng)段上的所有以太網(wǎng)接口卡在接收到這個第二層廣播之后,就會向主機系統(tǒng)發(fā)出中斷請求,并對這個廣播作出回應,從而消耗了主機資源,并且做出的回應可能造成對源地址所指目標的攻擊,所以,在絕大多數(shù)情況下,應該在邊界路由器上禁止定向廣播,使用以下接口命令禁止

  五、在絕大部分情況下,是不需要使用路由器的定向廣播功能的,會使用定向廣播的特例也有,例如,如果一臺SMB或者NT服務器需要讓一個遠程的LAN能夠看到自己,就必須向這個LAN發(fā)送定向廣播,但對于這種應用可以通過使用WINS服務器解決。

  六、當前絕大部分的操作系統(tǒng)都可以通過特別的設置,使主機系統(tǒng)對于ICMP ECHO廣播不做出回應,通過阻止網(wǎng)絡上的主機對ICMP ECHO廣播做出回應,可以阻止該廣播網(wǎng)絡成為攻擊的幫兇。

  總結:通過上面我們可以知道,當大量的數(shù)據(jù)涌入一個接口的時候,即使使用了訪問策略對ICMP包進行了刪除,接口還是可能會因為忙于不斷刪除大量數(shù)據(jù)而導致接口不能提供正常服務,與被動的刪除數(shù)據(jù)相比,一個主動的方法是,在接口上設置承諾速率限制,將特定數(shù)據(jù)的流量限制在一個范圍之內,允許其適量的通過,同時保證了其它流量的正常通過。

352528