“路由器防御Dos攻击的新做法”

{/dede:field.body}

DOS ( DOS )攻击是指利用合理的服务请求消耗过多的服务资源，使合法顾客无法得到服务的响应。

虽然dos攻击的做法很多，但具有欺诈源地址的采用、互联网协议缺陷的采用、操作系统和软件漏洞的采用、互联网上发生大量无用的分组消耗服务资源等共同的典型特征 因此，为了防御dos攻击，必须从这些攻击的特征入手，分解其特征，制定恰当的战略和做法。

smurf攻击的特征

smurf攻击是根据其攻击顺序命名的，是icmp echo flooding攻击。

在这样的攻击中，ping分组中的诈骗源地址所指向的主机是最终的受害者，也是第一受害者的路由器所连接的广播网络段成为攻击的共犯，像放大器一样迅速增大了网络流量，

smurf攻击的防御方法

根据smurf攻击的特点，要防御smurf的攻击，可以从两个方面入手。 一是防止自己的互联网成为攻击帮凶的第一受害者。 二是从最终受害者的角度防御smurf攻击。 从这两个方面探讨防御的测量方法和做法。

一、拒绝成为攻击的共犯

由于smurf利用互联网作为流量放大器，因此该互联网必定有以下特点。

1、路由器允许具有ip源地址欺诈的包通过

2、路由器将定向广播(发送到广播地址的数据包)转换为第2层) mac )的广播，广播到连接网络段；

3、广播网上的主机允许支持ping广播

4、路由器未对主机响应的ping数据流量设置限制；

因此，基于以上4点，可以重新计划互联网，以使自己的互联网不具备成为流量放大器的条件。

防止ip源地址欺诈

ip源地址伪装可以应用于各种攻击方法，如TCP同步浮点、UDP浮点、icmp浮点等。

的伪造源地址可以是不存在的(未被允许在公用网络上公开)地址，也可以是最终攻击的地址。

在udp flooding中，攻击者通过将目标系统的changen端口连接到伪造源地址所指向的主机的echo端口，从changen端口生成大量的随机字符，echo端口返回接收到的字符，然后

观察:为了防止udp flooding，路由器的诊断端口或服务必须不开放到管理域之外的区域。 如果不需要使用这些端口或服务，则必须将其关闭。

防止ip源地址伪装的最有效方法是验证源地址的真实性。 cisco路由器提供了两种方法:

a、在互联网边界实施针对ip源地址诈骗的过滤

阻止ip源地址伪装的一个最简单有效的方法是在边界路由器上采用向内接入列表，从而防止从下游互联网发送的分组确实在允许的地址范围内，允许范围外的数据被删除。 另外，为了跟踪攻击者，可以在log中记录被删除的数据新闻。

b、用相反地址发送

使用访问控制列表在下游入口进行ip限制基于下游ip地址段的明确性。 但是，在上游入口，有时难以明确流入数据的ip地址范围。 如果无法明确过滤范围，则有一种方法是使用统一反转路径转发。

反向地址发送是思科路由器的新ios提供的特征之一，简称为urpf。

urpf的机制在路由器在某个接口接收到包时，会检索CEF(Ciscoexpressforward )表，验证是否存在从该接收接口到包所指定的源地址的路径。 也就是说，逆向检索路径，验证其真实性，如果不存在则删除数据包。

与访问控制列表相比，urpf有很多优点。 例如，cpu资源消耗少，能够适应路由器路由表的动态变化，因此维护量少，对路由器性能的影响小。

urpf是基于接口配置的，配置命令如下:

(配置) # ip cef

(配置- if ) # IP验证统一反转路径

观察:在urpf实现中，cef必须全局打开，并且在配置界面中也启用。

禁止定向广播

在smurf攻击中，攻击者将ping包发送到互联网广播地址，如192.168.1.255。 在大多数情况下，路由器在接收到广播包时，默认情况下会将该第3层广播转换为第2层广播。 也就是说，将192.168.1.255转换为以太网的光纤:光纤:光纤:光纤:光纤:光纤:光纤。 该广播网段上的所有以太网卡在接收到该第2层广播后，向主机系统发送中断请求，以响应该广播，因此消耗主机资源并同时进行响应

因此，在大部分情况下，应该在边界路由器上禁止定向广播，并通过以下接口指令被禁止

(配置) #否IP直接广播

注:大多数情况下，不需要采用路由器的定向广播功能，也有采用定向广播的特例。 例如，smb或nt服务器需要向远程局域网展示自己时，需要向该局域网发送定向广播，但对于这种APP，采用wins服务器就可以应对。

禁止主机对ping广播做出响应

目前，大多数操作系统都可以通过特殊设置来防止主机系统对icmp echo广播做出响应。

通过阻止放大器网上主机对icmpecho(ping )广播做出响应，可以阻止该广播互联网成为攻击的帮凶。

限制icmp echo的流量

如果有大量数据流入一个接口，即使使用访问策略删除了icmp包，也可能由于删除大量数据而导致接口无法提供正常的服务。

与被动数据删除相比，一种积极的做法是，接口设置承诺速率限制( committed access rate，简称car )，将特定数据的流量限制在一个范围内，允许适量通过，其他流量则为

示例: car对icmp echo浮动的限制

！ 创建访问列表并对要筛选的数据进行分类

access-list 102永久潘彦宏

访问-列表102持久性经济实惠-复制

！ 将car放在接口上，并将icmp echo流量

！ 限于256k，允许突发性8k

接口串行3/0/0

rate-limitinputaccess -组10225600080008000确认-操作传递-操作拖放

二、受害者的策略

smurf攻击引起的攻击数据流量在经过放大器的互联网放大后，当到达最终攻击目标时，数据流量可能非常巨大。 为了防止被攻击的系统崩溃，可以采取以下两种战略:

使用访问控制列表过滤数据

对最终攻击目标的互联网边界路由器采用访问控制列表，拒绝向被攻击的主机发送ping攻击数据包。 但是，这是一种粗糙的做法，因为如果完全限制路由器攻击的主机的ping包，则其他希望正常通过的ping包也无法通过。 另外，如果在边界路由器中使用访问控制列表对ping数据进行过滤，则可以保护路由器所连接的内部互联网免受攻击，但被攻击的数据会大量流入路由器，路由器接口会被阻塞。

采用car限制速度

对最终攻击目标的互联网边界路由器采用car限制是更理想的方法。 借助于car，可以将流入互联网的某种数据包的总流量限制在一定的范围内，可以保证其他数据的正常通过。

结论

基于本文讨论的路由器结构来防御dos攻击的方法在实用上有非常大的效果。 目前大部分互联网仍采用路由器作为边界连接设备，因此本文所述的方法具有普遍实施的意义。

来源：雪球新闻网