您的位置:首页网络冲浪防范措施 → 防止DdoS攻击:通过路由器绕过DDoS防御攻击web服务器实例

防止DdoS攻击:通过路由器绕过DDoS防御攻击web服务器实例

时间:2011/4/10 11:46:21来源:本站原创作者:不详我要评论(1)

2 页 外网连接的唯一设备路由器

既然控制了该公司与外网连接的唯一设备路由器,别说一个web服务器,该公司的所有的internet都被控制了。于是笔者就以web服务器为例进行了安全测试。在cisco路由器安全模式下输入如下命令:

cisco#configure terminal Enter configuration commands, one per line. End with CNTL/Z. cisco(config)#int cisco(config)#interface fastEthernet 0/1 cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any cisco(config)#access-list 101 permit ip any any

上面的cisco命令是定义入站过滤,过滤掉所有针对目标地址为210.224.*.69的网络访问,这样就阻止或者隔绝了通过路由器的fastEthernet 0/1对IP地址为210.224.*.69(web服务器)的访问。(图4)

创建禁止访问

命令完成后我们在浏览器中输入http://www.*.co.jp访问,不出所料网页不能打开。至此我们过路由器曲径通幽,终结了该日本站点对其网站的访问中止。(图5)

攻击效果

由于是安全测试,我们恢复网站的访问,在cisco路由器上输入命令

cisco(config)#int fastEthernet 0/1 cisco(config)#no access-list 101 deny ip host 210.224.*.69 any

删除路由器对210.224.*.69的过滤,重新浏览该网站,可以访问了,至此我们的安全测试结束。(图6)

网站恢复访问

总结:笔者的这次安全测试,只是提供一个思路,从技术上分析演示通过路由器绕过DDOS防御体系,对web服务器实施攻击。总结这次安全测试,从安全的角度,我们应该思考的是:

1.必须重视路由器的安全,比如密码的设置、权限的设置。路由器是网络的灵魂,攻击者控制路由器比单纯控制一台服务器更危险,危害也更大,如果企业的核心路由器被控制,那么整个网络将沦陷。因此要为特权模式的进入设置强壮的密码。不要采用enable password设置密码,而要采用enable secret命令设置,并且要启用Service password-encryption,进行加密。

2.合理规划网络拓扑,本例中的网络结构就值得商榷。没有特殊需要,一般不要给路由器公网IP,把它暴露在公网上。控制对VTY的访问,如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码,由于VTY在网络的传输过程中没有加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址,实施入站过滤。本例中我们就是通过VTY远程登陆了路由器。

 

本文导航

相关视频

    没有数据

相关阅读 关于近期PC6遭受DDOS攻击声明从地震防护看如何防范DDoS攻击十项策略预防DDoS攻击避免DDoS攻击的方法介绍DDOS攻击困惑企业,飓风软件为DDoS“对症之药”教你通过修改注册表抵抗DDOS攻击ddos攻击防御解决方案如何最大限度减轻DDoS攻击危害

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 防止DdoS攻击:通过路解析卡巴斯基特色之漏 网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全

人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵