保護你的路由器遠離字典 DoS 攻擊(轉)
針對路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權或者可能導致使用者無法使用路由器。在本文中,你可以找到如何使用Cisco 網路作業系統的增強登陸功能來防止這種攻擊。
你可能還沒有認識到使用針對Telnet、SSH或者HTTP埠的字典式拒絕服務的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實上,我敢打賭,即便是大多數網路管理員沒有全部開啟這些埠,那麼他至少也會開啟其中一個埠用於路由器的管理。
當然,在公網中開放這些埠要比在私網中開放這些埠危險的多。但是,無論是對公網開放還是對私網開放這些埠,你都需要保護你的路由器防止它們受到字典DoS攻擊,透過這種攻擊,攻擊者可能獲得路由器的訪問權或者在你的網路中建立一個簡單的服務出口。
不過由於在網路作業系統 12.3(4)T以及以後的版本中都有了增強的登陸功能,因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優勢:
在發現連續登陸嘗試後,建立一個登陸延遲。
如果出現太多的登陸嘗試失敗的話,將不再允許登陸。
在系統日誌中建立相應的登陸資訊或者傳送SNMP陷阱來警告和記錄有關失敗和不允許登陸的額外資訊。
如何知道你的路由器中是否包含這些程式碼?最簡單的查詢方法是到"全域性配置模式(Global Configuration Mode)並且輸入"login(登陸)"",這個命令將返回一個選擇列表,具體顯示如下:
block-for--用於設定安靜模式活動時間週期。
delay--用於設定連續失敗登陸的時間間隔。
on-failure--用於設定試圖登陸失敗後的選項。
on-sucess--用於設定試圖登陸成功後的選項。
quiet-mode--用於設定安靜模式的選項。
如果你的路由器中的網路作業系統中沒有這個程式碼,它將返回一個"無法識別的命令"錯誤。
如果你的路由器中沒有這個功能,那麼使用Cisco 網路作業系統的特徵導航來為你的路由器找到這個功能(參照Cisco 網路作業系統增強登陸功能)你還可以使用這個工具來查詢你所需要的其他功能。記住,下載網路作業系統程式碼和訪問特徵導航工具需要Cisco的維護合同。
用於配置這些功能的最基本的基表的命令是login block-for命令,這也是唯一的命令。一旦你啟用了這個命令,其預設的登陸延遲時間是一秒。在你指定的時間內,如果試圖登陸的最大次數超過你所給定的次數的話,系統將拒絕所有的登陸嘗試。
在全域性配置模式下,執行下面的命令:
login block-for (在多長時間內拒絕所有的登陸嘗試)
attempts (如果登陸的次數超過此數)within (在多少秒以內)
下面給出一個例子
login block-for 120 attempts 5 within 60
該命令對系統進行如下配置:如果在60秒以內有五次登陸失敗的話,路由器系統將在120秒以內拒絕所有的登陸。如果此時你輸入show login的話,你將接收到以下輸出資訊:
預設情況下登陸延遲時間是一秒鐘。
沒有配置安靜模式訪問列表。
路由器啟用了登陸攻擊監控程式。
如果在60秒左右的時間內有五次登陸失敗的話,
系統將禁用登陸操作120秒。
路由器目前處於正常模式。
目前的監控視窗還有54秒鐘。
目前的登陸失敗次數為0。
這些資訊顯示了你的設定,包括預設的登陸延遲時間為一秒鐘,以及其他的附加資訊。它還告訴你目前路由器處於正常模式,這意味著路由器目前還允許你登陸。
如果路由器認為有人對其進行攻擊,它將進入安靜模式,並且開始拒絕所有的登陸操作。你還可以配置一個ACL,在其中說明這個路由器對哪些主機和網路例外,無論是處於安靜模式還是處於其他狀態,都允許這些主機和網路登陸路由器。
下面是這些命令中用於配置系統的一些選項:
登陸延遲(數字): 在失效登陸後增加延遲的秒數。你可以選擇1到10之間的任何數字。
登陸失敗和登陸成功:這些選項允許你選擇在登陸成功或者失敗時使用的日誌和SNMP警告的型別。
登陸安靜模式訪問類(ACL數字):增加ACL數字,使用這個選項可以增加一個隔絕列表,無論路由器處於安靜模式還是處於正常模式,這個列表中的主機和網路都可以登陸路由器。
通常情況下,為了安全,我建議在所有的路由器上都啟用login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。
如果你正好從事這方面的工作,並且你還沒有做好準備的話,那麼可以考慮只在路由器上使用SSH並且只允許從內網訪問。SSH加密所有從PC到路由器的通訊資訊(包括使用者名稱和密碼)。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955232/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 安全保護路由器防駭客攻擊路由器
- 路由器防禦Dos攻擊的新方法路由器
- 用 Apache 伺服器模組保護您的網站免受應用層 DOS 攻擊Apache伺服器網站
- 簡介DoS和DDoS的攻擊方法(轉)
- 如何保護企業免受黑客攻擊?黑客
- Avahi DOS攻擊broadcast-avahi-dosAST
- 學會這些,讓你的伺服器遠離攻擊影響伺服器
- Gawker攻擊事件暴露密碼保護缺陷事件密碼
- 保護您的資料免受網路攻擊的技巧
- Billy Belceb病毒編寫教程(DOS篇)---保護你的程式碼
- 什麼是DOS?DOS攻擊型別有哪些?型別
- 使用SRI保護你的網站免受第三方CDN惡意攻擊網站
- linux下c程式設計中的DOS攻擊程式(轉)LinuxC程式程式設計
- 如何保護Windows網路免受勒索軟體攻擊Windows
- 保護電子商務商店防止黑客攻擊的祕訣黑客
- 駭客知識之7種DoS攻擊方法簡述(轉)
- 勒索軟體攻擊:如何透過加密保護您的資料加密
- 如何保護您不瞭解的資料資產免受網路攻擊?
- 梭子魚資料保護和安全解決方案提供全面的勒索軟體攻擊保護
- 【日常篇】DOS攻擊和DDOS攻擊之間有什麼區別?
- Smart海外代理—IP是如何保護跨境電商店鋪不被攻擊的?
- 勒索軟體eCh0raix變種擴充套件攻擊物件,注意保護好你的NASAI套件物件
- 網路安全DOS攻擊有什麼方式
- 如何保護網路免受DOS和DDOS的侵害呢?
- [譯文]4種簡單的方法保護您的公司免受網路攻擊
- 【網路安全入門】什麼是DOS?DOS攻擊型別有哪些?型別
- 為了保護環境,遊戲行業正在逐漸遠離塑料遊戲行業
- 12行JS程式碼的DoS攻擊分析及防禦JS
- 保護路由器的十四招必殺技路由器
- 加密你的資料並使其免受攻擊者的攻擊加密
- ASLR 是如何保護 Linux 系統免受緩衝區溢位攻擊的Linux
- 警惕!VoIP DDoS 攻擊呈上升趨勢,Cloudflare 保護您的網路安全!Cloud
- 淺談 CC 攻擊的防護方法
- WEB三大攻擊之—SQL隱碼攻擊與防護WebSQL
- 基礎:全面保護你的Java程式安全(中)(轉)Java
- MySQL隱碼攻擊Fuzz過濾字元字典MySql字元
- 小心你的附件 文字檔案的欺騙攻擊(轉)
- 研究人員發現macOS隱私保護重大漏洞 攻擊者可繞過蘋果隱私保護核心機制Mac蘋果