萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 用路由器防止DoS拒絕服務瘋狂攻擊

用路由器防止DoS拒絕服務瘋狂攻擊

  拒絕服務(Dos)攻擊是目前黑客廣泛使用的一種攻擊手段,它通過獨占網絡資源、使其他主機不能進行正常訪問,從而導致宕機或網絡癱瘓。

  DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種,在Smurf攻擊中,攻擊者使用ICMP數據包阻塞服務器和其他網絡資源;SYN Flood攻擊使用數量巨大的TCP半連接來占用網絡資源;Fraggle攻擊與Smurf攻擊原理類似,使用UDP echo請求而不是ICMP echo請求發起攻擊。

  盡管網絡安全專家都在著力開發阻止DoS攻擊的設備,但收效不大,因為DoS攻擊利用了TCP協議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例,Cisco路由器中的IOS軟件具有許多防止DoS攻擊的特性,保護路由器自身和內部網絡的安全。

  使用擴展訪問列表

  擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。Show IP access-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網絡中出現了大量建立TCP連接的請求,這表明網絡受到了SYN Flood攻擊,這時用戶就可以改變訪問列表的配置,阻止DoS攻擊。

  使用QoS

  使用服務質量優化(QoS)特征,如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如,WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列,而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外,人們可以利用CAR來限制ICMP數據包流量的速度,防止Smurf攻擊,也可以用來限制SYN數據包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對DoS攻擊的不同類型采取相應的防范措施。

  使用單一地址逆向轉發

  逆向轉發(RPF)是路由器的一個輸入功能,該功能用來檢查路由器接口所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包,但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息,路由器就會丟棄該數據包,因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。

  使用RPF功能需要將路由器設為快速轉發模式(CEF switching),並且不能將啟用RPF功能的接口配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優勢,首先它能動態地接受動態和靜態路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具,對路由器本身產生的性能沖擊,要比使用訪問列表小得多。

  使用TCP攔截

  Cisco在IOS 11.3版以後,引入了TCP攔截功能,這項功能可以有效防止SYN Flood攻擊內部主機。

  在TCP連接請求到達目標主機之前,TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監視兩種模式下工作。在攔截模式下,路由器攔截到達的TCP同步請求,並代表服務器建立與客戶機的連接,如果連接成功,則代表客戶機建立與服務器的連接,並將兩個連接進行透明合並。在整個連接期間,路由器會一直攔截和發送數據包。對於非法的連接請求,路由器提供更為嚴格的對於half-open的超時限制,以防止自身的資源被SYN攻擊耗盡。在監視模式下,路由器被動地觀察流經路由器的連接請求,如果連接超過了所配置的建立時間,路由器就會關閉此連接。

  在Cisco路由器上開啟TCP攔截功能需要兩個步驟:一是配置擴展訪問列表,以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址,保護內部目標主機或網絡。在配置時,用戶通常需要將源地址設為any,並且指定具體的目標網絡或主機。如果不配置訪問列表,路由器將會允許所有的請求經過。

  使用基於內容的訪問控制

  基於內容的訪問控制(CBAC)是對Cisco傳統訪問列表的擴展,它基於應用層會話信息,智能化地過濾TCP和UDP數據包,防止DoS攻擊。

  CBAC通過設置超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連接。對TCP而言,半連接是指一個沒有完成三階段握手過程的會話。對UDP而言,半連接是指路由器沒有檢測到返回流量的會話。

  CBAC正是通過監視半連接的數量和產生的頻率來防止洪水攻擊。每當有不正常的半連接建立或者在短時間內出現大量半連接的時候,用戶可以判斷是遭受了洪水攻擊。CBAC每分鐘檢測一次已經存在的半連接數量和試圖建立連接的頻率,當已經存在的半連接數量超過了門限值,路由器就會刪除一些半連接,以保證新建立連接的需求,路由器持續刪除半連接,直到存在的半連接數量低於另一個門限值;同樣,當試圖建立連接的頻率超過門限值,路由器就會采取相同的措施,刪除一部分連接請求,並持續到請求連接的數量低於另一個門限值。通過這種連續不斷的監視和刪除,CBAC可以有效防止SYN Flood和Fraggle攻擊。

  路由器是企業內部網絡的第一道防護屏障,也是黑客攻擊的一個重要目標,如果路由器很容易被攻破,那麼企業內部網絡的安全也就無從談起,因此在路由器上采取適當措施,防止各種DoS攻擊是非常必要的。用戶需要注意的是,以上介紹的幾種方法,對付不同類型的DoS攻擊的能力是不同的,對路由器CPU和內存資源的占用也有很大差別,在實際環境中,用戶需要根據自身情況和路由器的性能來選擇使用適當的方式。

  如今的數碼產品越來越普及,這將漸漸吸引更多病毒制造者的目光,也許就在大家興高采烈傳歌的同時感染上很多病毒,如果養成良好的防毒習慣,病毒就不會瘋狂傳播。

  在我們使用MP3播放器的過程中,經常要把MP3和計算機連接後進行文件拷貝,這樣就很容易發生MP3播放器被病毒感染的情況。那麼我們應該從下面幾個方面來進行預防:

  1.打開寫保護開關。如果MP3播放器帶有寫保護開關,並且也沒有往設備上寫文件時,最好在連到計算機前打開寫保護開關,這樣就從源頭上切斷了病毒傳播的途徑。

  2.安裝移動版殺毒軟件。現在多知名殺毒廠家都推出了專門針對MP3、閃存和移動硬盤等移動設備使用的殺毒軟件。當然安裝上移動版殺毒軟件後,我們要及時升級病毒庫,這樣才能做到防患於未然。

  3.手動更改目錄內容。如果你的MP3播放器沒有寫保護開關,同時也沒有移動版殺毒軟件,那麼還有一個較為簡單的辦法來防止病毒的入侵。在MP3播放器根目錄下面通過記事本工具手工創建一個名字為“Autorun.inf文件,這樣一來一些病毒日後就無法往MP3播放器根目錄下面自動生成“Autorun.inf文件了,無法通過MP3播放器進行非法傳播。同樣,這種預防病毒的方法也適用於移動硬盤。該方法可以防止多數低級病毒的入侵,但如果遇到高級黑客編寫的病毒,則應用其他方法防毒。

  4.有病毒則應格式化。即便是采取了這些措施,有時候也無法徹底避免MP3感染病毒的現象。我們的MP3感染病毒後怎麼辦呢?這時一定要注意,在沒有對病毒進行處理之前,不要把該MP3連接到別的計算機上使用,因為那樣可能會造成交叉感染,進一步擴大病毒的傳播范圍。這時候我們要做的是對MP3播放器進行格式化處理,在格式化的過程中,要特別注意選擇正確的文件格式。另外要盡可能地采用廠家提供的格式化程序(一般廠家的隨機光盤中或者官方網站上都提供),否則可能會出現格式化後MP3無法正常使用的問題。

  2008北京奧運會一天天的臨近了。作為互聯網也第一次登上了奧運的舞台。面對復雜的國際形式,如何才能保障互聯網的安全,也已成為我們的同識。前幾天我們報道了有關國外黑客要借北京奧運報復中國的新聞。除了那些奧運黑客,還有很多敵對勢力也在虎勢眈眈。現在我想通過我們前一段時間的介紹,大家對“肉雞也有所了解了。拒絕成為“肉雞,為奧運盡我們綿薄之力。下面,編輯在為大家介紹一些有關系統安全方面的技巧。

一、關閉“文件和打印共享

文件和打印共享應該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享的情況下,我們可以將它關閉。用鼠標右擊“網絡鄰居,選擇“屬性,然後單擊“文件和打印共享按鈕,將彈出的“文件和打印共享對話框中的兩個復選框中的鉤去掉即可。

雖然“文件和打印共享關閉了,但是還不能確保安全,還要修改注冊表,禁止它人更改“文件和打印共享。打開注冊表編輯器,選擇

“HKEY_CURRENT_USER/Software/Microsoft/Windows/
CurrentVersion/PolicIEs/NetWork

主鍵,在該主鍵下新建DWord類型的鍵值,鍵值名為“NoFileSharingControl,鍵值設為“1表示禁止這項功能,從而達到禁止更改“文件和打印共享的目的;鍵值為“0表示允許這項功能。這樣在“網絡鄰居的“屬性對話框中“文件和打印共享就不復存在了。

二、把Guest賬號禁用

有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限

copyright © 萬盛學電腦網 all rights reserved