如何用路由器防御Dos攻击方法 -pc6资讯

您的位置：首页 → 资讯 → 知识加油站 → 如何用路由器防御Dos攻击方法

如何用路由器防御Dos攻击方法 时间：2010/12/11 16:17:18来源：本站整理作者：清晨我要评论(0)

过去最强DDOS工具之一:DRDOS 一款新出的威力巨大的DDOS工具支持系统: 2000以上 2K/XP/2003 在DOS下的命令是ddos 211.90.117.14 80 -a:0 -l:110 -t:10　 211.90.117.14 这个可以替换成你想要攻击对方的IP

　　DoS (Denial of Service)攻击便是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
　　dos攻击的方法很多，但它们都具有一些共同的典范特征，例如：利用欺骗的源地址、利用网络协议的缺陷、利用操作系统或软件的毛病、在网络上产生大量的无用数据包消耗服务资源等。所以，要防御dos攻击，就必须从这些攻击的特征入手，分析其特征，制定合适的策略和方法。
　　Smurf攻击的特征形貌
　　Smurf攻击是根据它的攻击程序命名的，是一种ICMP echo flooding攻击。
　　在如此的攻击中，ping包中包含的欺骗源地址指向的主机是最终的受害者，也是主要的受害者;而路由器连接的广播网段成为了攻击的帮凶(类似一个放大器，使网络流量敏捷增大)，也是受害者。
　　防御Smurf攻击的方法
　　根据Smurf攻击的特征，可以从两个方面入手来防御Smurf的攻击：一是防止自己的网络成为攻击的帮凶即第一受害者 ;二是从最终受害者的角度来防御Smurf攻击。下面就从这两个方面来讨论防御的的测路和方法。
　　一、拒绝成为攻击的帮凶
　　Smurf要利用一个网络作为“流量放大器”，该网络必定具备以下特征：
　　1、路由器允许有IP源地址欺骗的数据包通过 ;
　　2、路由器将定向广播(发送到广播地址的数据包)转换成为第二层(MAC层)的广播并向连接网段广播 ;
　　3、广播网络上的主机允许对ping广播作出回应 ;
　　4、路由器对主机回应的ping数据流量未做限制 ;
　　所以，可以根据以上四点来重新规划网络，以使自己的网络不具备会成为“流量放大器”的条件。过去最强DDOS工具之一:DRDOS一款新出的威力巨大的DDOS工具支持系统:2000以上2K/XP/2003在DOS下的命令是ddos211.90.117.1480-a:0-l:110-t:10　211.90.117.14这个可以替换成你想要攻击对方的IP
om”文档解压到同一个目录中。
　　伪造的源地址可以是不存在(不允许在公网上发布)的地址，或者是最终攻击目的的地址。
　　在UDP flooding中，攻击者则是通过连接目的系统的changen端口到伪造源地址指向的主机的echo端口，导致changen端口产生大量的随机字符到echo端口，而echo端口又将接收到的字符返回，最后导致两个系统都因耗尽资源而瓦解。
　　注意：为了防御UDP flooding，我们必须防止路由器的诊断端口或服务向管理域之外的区域开放，如果不需要利用这些端口或者服务，应该将其关了。
　　禁止定向广播
　　在Smurf攻击中，攻击者将ping数据包发向一个网络的广播地址，例如：192.168.1.255DoS攻击,dos。同时，为了追溯攻击者，可以利用log记载被删除的数据信息。
　　b、利用反向地址发送
　　利用访问控制列表在下游入口处做ip限制，是基于下游ip地址段的确定性。但在上游入口处，流入数据的ip地址范围偶然是难于确定的。在无法确定过滤范围时，一个可行的方法是利用反向地址发送(Unicast Reverse Path Forwarding)。
　　反向地址发送是Cisco路由器的新版IOS提供的一项特性，简称uRPF。
　　禁止主机对ping广播作出反应
　　当前绝大部分的操作系统都可以通过特别的设置，使主机系统对于ICMP ECHO广播不做出回应。
　　相比访问控制列表，uRPF具有很多优点，例如：泯灭CPU资源少、可以顺应路由器路由表的动态变化(因为CEF表会追随路由表的动态变化而更新)，所以维护量更少，对路由器的性能影响较小。
　　uRPF是基于接口配置的，配置命令如下：
　　(config)# ip cef
　　(config-if)# ip verify unicast reverse-path
　　注意：uRPF的实施，CEF必须是全局打开，并在配置接口上也是启用的。

致命武力升级档: 授权：共享软件大小：396KB 语言：简体

下载地址

　　防止IP源地址欺骗的最有效方法便是验证源地址的真实性，在Cisco路由器上，我们可以采用下列两种方法：
　　a、在网络边界实施对IP源地址欺骗的过滤
　　阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器利用向内的访问列表，限制下游网络发进来的数据包确实是在允许担当的地址范围，不在允许范围的数据将被删除。大多数情况下，路由器在接收到该广播包之后，默认会将这个第三层广播转换成第二层广播，即将192.168.1.255转换成为以太网的FF:FF:FF:FF:FF:FF 。而该广播网段上的所有以太网接口卡在接收到这个第二层广播之后，就会向主机系统发出中断请求，并对这个广播作出回应，从而消耗了主机资源，并且做出的回应可能造成对源地址所指目的的攻击DoS攻击,dos。
　　所以，在绝大多数情况下，应该在边界路由器上禁止定向广播，利用以下接口命令禁止
　　(config)# no ip directed-broadcast
　　注：在绝大部分情况下，是不需要利用路由器的定向广播功能的，会利用定向广播的特例也有，例如，如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己，就必须向这个LAN发送定向广播，但对于这种应用可以通过利用WINS服务器解决。
　　uRPF的事情原理是：当路由器在一个接口上收到一个数据包时，它会查找CEF(Cisco Express Forward)表，验证是否存在从该接收接口到包中指定的源地址之间的路由，即反向查找路径，验证其真实性，如果不存在如此的路径就将数据包删除。
[ 恢复WindowsME的实DOS模式 ]　　通过阻止“放大器”网络上的主机对ICMP ECHO(ping)广播做出回应，可以阻止该广播网络成为攻击的帮凶。当前绝大部分的网络仍然利用路由器作为边界连接设备，所以本文阐述的方法具有普遍实施的意义。
　　与被动的删除数据相比，一个主动的方法是，在接口上设置承诺速率限制(committed access rate，简称CAR)，将特定数据的流量限制在一个范围之内，允许其适量的通过，同时保证了其它流量的正常通过。
　　例：利用CAR限制ICMP echo flooding
　　!建立访问列表，分类要过滤的数据
　　access-list 102 permit icmp any any echo
　　access-list 102 permit icmp any any echo-reply
　　!在接口上配置CAR，将ICMP echo流量
　　!限制在256k，允许突发8k
　　interface Serial3/0/0
　　rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop

12 下一页

本文导航

第1页: 首页
第2页: 由Smurf攻击产生的攻击数据流量

相关视频

没有数据

文章评论

查看所有0条评论>>