巧設(shè)路由器實(shí)例 有效防范DDOS攻擊
本文主要分析了目前對(duì)于DDOS的攻擊,那么我們現(xiàn)在如何去防范DDOS攻擊呢?下面的文章將給予我們?cè)敿?xì)的解答。看過(guò)此文我們可以有個(gè)詳細(xì)的參考。
正如環(huán)境變化導(dǎo)致全球氣候的變幻莫測(cè)一樣,企業(yè)網(wǎng)絡(luò)安全威脅也日益紛繁與復(fù)雜。在這復(fù)雜的暗流中,Dos攻擊路由器成為主流,對(duì)現(xiàn)在而言,進(jìn)行DoS攻擊的防御還是比較困難的。不過(guò)即使它難于防范,也不是說(shuō)我們就應(yīng)該逆來(lái)順受,實(shí)際上防止DoS并不是絕對(duì)不可行的事情。企業(yè)網(wǎng)絡(luò)的使用者是各種各樣的,時(shí)時(shí)刻刻與DoS做斗爭(zhēng),不同的角色使用不同的方式來(lái)防范。
分析
我們知道路由器是通向企業(yè)的門(mén)戶,成為黑客的目標(biāo)已經(jīng)有了一段時(shí)間,現(xiàn)在的黑客似乎變得更加精明。他們往往會(huì)這樣,當(dāng)發(fā)現(xiàn)鎖定的目標(biāo)前門(mén)被鎖上后,就會(huì)改而尋找漏洞的大門(mén)是否敞開(kāi)。路由器攻擊之所以吸引黑客有幾個(gè)原因:不同于計(jì)算機(jī)系統(tǒng),路由器通常處于企業(yè)的基礎(chǔ)設(shè)施內(nèi)部,與計(jì)算機(jī)相比,它們受監(jiān)視器和安全政策的保護(hù)相對(duì)薄弱,為不法之徒提供了為非作歹的躲藏之處。如果路由器配置不當(dāng),廠商提供的默認(rèn)口令或則使用過(guò)于簡(jiǎn)單密碼,很容易進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。一旦受到危害,路由器就可以被用作掃描行動(dòng)、欺騙連接的各個(gè)平臺(tái),并作為發(fā)動(dòng)dos攻擊的一塊跳板,來(lái)實(shí)現(xiàn)黑客網(wǎng)絡(luò)攻擊的意圖。
那么應(yīng)該如何采取適當(dāng)?shù)牟呗詠?lái)抵御DOS攻擊呢? 盡管網(wǎng)絡(luò)安全專家都在著力開(kāi)發(fā)如何阻止DoS攻擊的設(shè)備,但效果都不太理想,因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。我們可以利用正確配置企業(yè)級(jí)路由器,再用其它相關(guān)的工具進(jìn)行檢測(cè),方能有效防止DoS攻擊。現(xiàn)在我們以華為3COM路由器為例,華為3COM路由器中的已經(jīng)具有許多防止DoS攻擊的特性,來(lái)保護(hù)路由器自身和企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。
根據(jù)檢測(cè)建立訪問(wèn)列表
擴(kuò)展訪問(wèn)列表是防止DoS攻擊的有效工具。它既可以用來(lái)探測(cè)DoS攻擊的類型,也可以阻止DoS攻擊。Show access-list命令能夠顯示每個(gè)擴(kuò)展訪問(wèn)列表的匹配數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的類型,用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請(qǐng)求,這表明網(wǎng)絡(luò)受到了SYN Flood攻擊,這樣就可以改變?cè)L問(wèn)列表的配置,來(lái)有效阻止DoS攻擊。如圖一
【編輯推薦】
