Cisco路由器抵制DoS攻击解决方案
路由器是企业网络中的第一道保护屏障,也是黑客的一个重要目标,如果路由器很容易被攻破,那么企业内部网络安全就不可能了,因此在路由器上采取适当措施,防止DoS攻击是非常必要的。一、什么是DoS攻击
拒绝服务(DoS)攻击是一种被黑客广泛使用的攻击手段,网络资源,使其不受其他主机的不正常访问,导致停机或网络瘫痪。
DoS攻击主要分为Fraggle,Smurf和SYN洪水和三,Fraggle攻击和Smurf攻击原理,回送ICMP回送请求的请求而不是攻击;在Smurf攻击中,攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYN洪水攻击使用大量的TCP连接占用网络资源。
在Cisco路由器的IOS软件有许多功能,防止DoS攻击,保护路由器本身的安全和内部network.dos攻击利用了TCP协议本身的弱点,以及路由器正确的配置,可以有效的防止DoS攻击。
两。使用基于内容的访问控制
基于内容的访问控制(CBAC)是思科传统访问列表的扩展。它是基于应用层会话信息,智能过滤TCP和UDP数据包,防止DoS攻击。
上下文是防止洪水攻击的监测数量和频率的半连接。当异常半连接建立或大量的半连接在短时间内发生的,用户可以认为是由一个flood.cbac每分钟一旦现有的半连接和连接到频率时已有半连接数超过阈值的攻击,路由器将删除一些半连接,确保新连接的需求,路由器继续删除半连接,直到下一个阈值的半连接数的存在;同样,当试图建立一个连接之间的频率超过阈值,该路由器将T他同样的措施来消除连接请求的一部分,并继续请求连接的数量低于一个阈值。这种连续监测和删除,CBAC可以有效防止SYN Flood Fraggle攻击。
三。使用TCP拦截
Cisco在iOS 11.3版本之后引入了TCP侦听功能,它可以有效地防止SYN洪水攻击内部主机。
TCP连接请求到达目标主机之前,TCP拦截的拦截器拦截validating.tcp防止这种攻击可以在拦截和监测两种工作模式。在拦截模式下,路由器拦截TCP同步请求,并建立对代表服务器客户端连接。如果连接成功,它代表了客户和服务器之间的连接,并透明地将两连接,整个连接过程中,路由器拦截和发送数据包的时间。对于非法的连接请求,路由器提供更为严格的超时限制半开,防止自己的资源被耗尽的SYN攻击在监控模式,路由器被动观察连接请求通过路由器。如果连接超过建立时间,路由器将关闭连接。
TCP拦截功能的Cisco路由器上需要两个步骤:首先,配置以确定需要保护的IP地址扩展的访问列表;和二是开放的TCP拦截。配置访问列表来定义源地址和目的地址需要截获TCP,并保护内部目标主机或网络。配置时,用户通常需要设置源地址给任何指定一个具体的目标网络或主机。如果访问列表是不配置,路由器将允许所有的请求通过。
四。使用扩展访问列表
扩展访问列表是防止DoS攻击的有效工具,它可以检测DoS攻击的类型和DoS攻击,显示IP访问列表命令可以显示每个扩展访问列表的匹配数据包。根据数据包的类型,用户可以确定DoS攻击的类型,如果网络中存在大量的tcp连接请求,则表示网络受到SYN洪水攻击。用户可以更改访问列表的配置并防止DoS攻击。
五。单地址反向转发
反向代理(RPF)是路由器的一个输入功能,用于检查每个数据包通过路由器接口接收。如果路由器接收到一个数据包的源IP地址10.10.10.1,但CEF(Cisco Express Forwarding)路由表不提供任何IP地址的路由信息,路由器将丢弃该数据包反向路径转发,这样可以防止Smurf攻击和基于IP地址伪装的攻击。
六。使用QoS
对服务质量(QoS)的优化使用功能,如加权公平队列(WFQ),承诺访问速率(CAR)、通用流量整形(GTS)和定制队列(CQ),可以有效防止DoS攻击。需要注意的是,不同的QoS策略对不同的DoS攻击的效果是不同的重要的。例如,对ping洪水攻击比WFQ的SYN洪水攻击更有效,因为Ping Flood通常表现为一个单独的传输队列WFQ,和SYN Flood攻击的每一个数据包就会显示出来作为一个单独的数据流。此外,人们可以使用汽车的限制ICMP数据包流量的速度,防止Smurf攻击,也可以限制SYN数据包的流量速度,防止SYN Flood攻击我们。为了防止DoS攻击而产生的服务质量要求用户理解QoS和DoS攻击的原则,以便针对不同类型的DoS攻击采取相应的防范措施。
以上几种方法,在实际环境中,用户需要根据自己的情况和路由器的性能选择合适的方式,而处理不同类型DoS攻击的能力是不同的。路由器CPU和内存资源的占用也很不一样。我们必须仔细考虑。