現在Internet上基于網絡層上的黑客攻擊越來越普遍,成為網絡安全的一大隱患。其實,路由器對于這種攻擊也并非完全無能為力,這里就簡單介紹幾種在Cisco路由器上所能實現的防御手段:
1.對于D.O.S Attack的防范
D.O.S攻擊(Deny Of Service)基于TCP協議上三次握手機制進行的攻擊手段。TCP協議是面向用戶的可靠傳輸協議,即:在實際傳輸數據之前,先由發起方(用戶)發出一個請求,接受方(服務器)接到這個請求之后,向發起方發出一個確認請求,收到發起方進一步確認之后,才開始實際的數據傳輸。D.O.S Attack根據這一機制,由黑客通過軟件的方法修改自己的源IP地址,向某一服務器發出請求。當服務器向該IP地址發出確認請求之后,由于這個地址是假冒的,所以永遠都得不到第三次的請求確認,于是這個中斷就被掛起。當黑客在短時間內發起成千上萬個這樣的請求之后,所有網絡資源很快就會被耗盡。同時,所有正常的服務請求也沒有資源可以做出應答,造成網絡癱瘓。
在Cisco路由器上,通過幾種方式進行偵測、避免:
一、啟用service tcp-keepalive-in和schedule process-watchdog terminate。目的是:建立看門狗進程,檢查已建立的tcp連接,如果發生不激活或者長時間掛起的情況,中斷這樣的連接。
二、當發現路由器上已經發生異常情況以后,no ip source-route,關閉對于源ip地址的路由檢查,避免不必要的資源占用。(請注意,如果在正常情況下,就關閉源路由跟蹤的話,容易受到IP電子欺詐。)同時,開啟schedule interval xxx(毫秒)。這樣就可以硬性指定,為同一個端口中斷提供服務時必須間隔一段時間。保證在這個間隔內可以為其他請求提供服務,使網絡不至于完全癱瘓。
2.反IP地址欺騙
很多網絡攻擊依賴于攻擊者偽造或者“欺騙”IP數據包的源地址。如果能夠在任何可行的地方組織欺騙是有很價值的。這里可以考慮使用訪問控制列表的方法,做法有很多種,但是目的是簡單的,丟棄那些明顯不屬于這個接口來源的IP數據包。還有一種可能更加有效的方法,就是用RPF檢查。前提是必須是路由對稱的情況下(就是A-B的路徑必須也是B-A的路徑),而且必須支持CEF轉發以及相對應的IOS版本支持。它是通過ip verify unicast rpf來啟用的,但是之前必須先啟用ip cef。
3.關閉廣域網上一些不必要的服務
在Cisco路由器上,有很多服務廣域網上根本不必要,但是仍然默認開啟,反而造成了安全漏洞,給黑客以可乘之機。所以建議予以手工關閉。
例如:利用訪問控制列表(acl)只開啟實際使用的tcp、udp端口。同時,執行no service tcp-small-servers, no service udp-small-servers。這些tcp、udp協議上小服務,平時不常使用,但是這些端口容易被人利用,所以應該關閉。 No ip finger,finger協議主要在unix下使用,類似于Cisco IOS中的show user,如果開啟容易被黑客看到連接用戶,進一步猜測弱密碼,進行合法登陸。如果需要防范密碼猜測的風險,在路由器上就應該首先把這個服務關閉。
在撥號線路上,一般都采用transport input none,關閉諸如telnet、rlogin等易受攻擊的后臺程序。
4.No ip direct-broadcast
Ping of death攻擊據說最早源于俄羅斯,就是通過許多用戶同時對同一目的進行ping,造成flood攻擊的效果。但是在實戰上效果并不明顯。因為在flood的同時,攻擊方也必須付出同樣的資源。因此,有人對這種攻擊手段進行了優化。攻擊的目的端從某一特定的ip地址,轉換成了類如192.10.6.255這樣一個網段廣播地址。使這個網段內所有的機器都對這樣的請求做出應答,從而達到事半功倍的效果。
對應手段為:在路由器廣域網接口no ip direct-broadcast,這樣除了隔離255.255.255.255的全廣播以外,對于類似192.10.6.255網段廣播地址也予以隔離,可以大大減少了被flood攻擊的風險,也能減少主干線路上不必要的流量。或者,在完成網絡上的連通性測試(ping測試)之后,利用訪問控制列表,關閉ICMP協議中的echo和echo reply。
當然,路由器畢竟不是專門的網絡安全設備,它所能做的也僅僅能夠減少一些基于網絡層上的攻擊所帶來的負面影響,但絕不能完全免疫。而且,在實現上述功能的同時,也是以犧牲部分CPU與內存資源為代價的。此外,它對于一些諸如登陸攻擊、所有基于應用層上的攻擊手段等則完全無能為力。如果發生這樣的問題,還是必須要借助防火墻等專門的安全設備和在系統上進行嚴格設置等手段配合進行。
