如何讓路由器遠離字典DoS攻擊

2019-11-05 00:29:01

字體：大中小

來源：轉載

供稿：網友

　　針對路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權或者可能導致用戶無法使用路由器。在本文中，你可以找到如何使用Cisco 網絡操作系統的增強登陸功能來防止這種攻擊。
　　
　　你可能還沒有熟悉到使用針對Telnet、SSH或者HTTP端口的字典式拒絕服務的（DoS）攻擊可能成功的攻擊你的Cisco路由器。事實上，我敢打賭，即便是大多數網絡治理員沒有全部打開這些端口，那么他至少也會打開其中一個端口用于路由器的治理。
　　
　　當然，在公網中開放這些端口要比在私網中開放這些端口危險的多。但是，無論是對公網開放還是對私網開放這些端口，你都需要保護你的路由器防止它們受到字典DoS攻擊，通過這種攻擊，攻擊者可能獲得路由器的訪問權或者在你的網絡中創建一個簡單的服務出口。
　　
　　不過由于在網絡操作系統 12.3(4)T以及以后的版本中都有了增強的登陸功能，因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優勢：
　　
　　在發現連續登陸嘗試后，創建一個登陸延遲。
　　
　　假如出現太多的登陸嘗試失敗的話，將不再答應登陸。
　　
　　在系統日志中創建相應的登陸信息或者發送SNMP陷阱來警告和記錄有關失敗和不答應登陸的額外信息。
　　如何知道你的路由器中是否包含這些代碼？最簡單的查找方法是到"全局配置模式（Global Configuration Mode）并且輸入"login（登陸）""，這個命令將返回一個選擇列表，具體顯示如下：
　　
　　block-for--用于設置安靜模式活動時間周期。
　　
　　delay--用于設置連續失敗登陸的時間間隔。
　　
　　on-failure--用于設置試圖登陸失敗后的選項。
　　
　　on-sUCess--用于設置試圖登陸成功后的選項。
　　
　　quiet-mode--用于設置安靜模式的選項。
　　假如你的路由器中的網絡操作系統中沒有這個代碼，它將返回一個"無法識別的命令"錯誤。
　　
　　假如你的路由器中沒有這個功能，那么使用Cisco 網絡操作系統的特征導航來為你的路由器找到這個功能（參照Cisco 網絡操作系統增強登陸功能）你還可以使用這個工具來查找你所需要的其他功能。記住，下載網絡操作系統代碼和訪問特征導航工具需要Cisco的維護合同。
　　
　　用于配置這些功能的最基本的基表的命令是login block-for命令，這也是唯一的命令。一旦你激活了這個命令，其缺省的登陸延遲時間是一秒。在你指定的時間內，假如試圖登陸的最大次數超過你所給定的次數的話，系統將拒絕所有的登陸嘗試。
　　
　　在全局配置模式下，執行下面的命令：
　　
　　login block-for （在多長時間內拒絕所有的登陸嘗試）
　　
　　attempts （假如登陸的次數超過此數）within （在多少秒以內）
　　
　　下面給出一個例子
　　
　　login block-for 120 attempts 5 within 60
　　
　　該命令對系統進行如下配置：假如在60秒以內有五次登陸失敗的話，路由器系統將在120秒以內拒絕所有的登陸。假如此時你輸入show login的話，你將接收到以下輸出信息：
　　
　　缺省情況下登陸延遲時間是一秒鐘。
　　沒有配置安靜模式訪問列表。
　　
　　路由器激活了登陸攻擊監控程序。
　　假如在60秒左右的時間內有五次登陸失敗的話，
　　系統將禁用登陸操作120秒。
　　
　　路由器目前處于正常模式。
　　目前的監控窗口還有54秒鐘。
　　目前的登陸失敗次數為0。
　　
　　這些信息顯示了你的設置，包括缺省的登陸延遲時間為一秒鐘，以及其他的附加信息。它還告訴你目前路由器處于正常模式，這意味著路由器目前還答應你登陸。
　　
　　假如路由器認為有人對其進行攻擊，它將進入安靜模式，并且開始拒絕所有的登陸操作。你還可以配置一個ACL，在其中說明這個路由器對哪些主機和網絡例外，無論是處于安靜模式還是處于其他狀態，都答應這些主機和網絡登陸路由器。
　　
　　下面是這些命令中用于配置系統的一些選項：
　　
　　登陸延遲（數字）：在失效登陸后增加延遲的秒數。你可以選擇1到10之間的任何數字。
　　
　　登陸失敗和登陸成功：這些選項答應你選擇在登陸成功或者失敗時使用的日志和SNMP警告的類型。
　　
　　登陸安靜模式訪問類（ACL數字）：增加ACL數字，使用這個選項可以增加一個隔絕列表，無論路由器處于安靜模式還是處于正常模式，這個列表中的主機和網絡都可以登陸路由器。
　　通常情況下，為了安全，我建議在所有的路由器上都激活login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。
　　
　　假如你正好從事這方面的工作，并且你還沒有做好預備的話，那么可以考慮只在路由器上使用SSH并且只答應從內網訪問。SSH加密所有從PC到路由器的通信信息（包括用戶名和密碼）。
　　
　　要想得到這些新特征的全部命令的參考信息，請登陸到Cisco IOS Login Enhancements Documentation 。

上一篇：教你如何配置12.2版IOS思科路由器

下一篇：加裝防火墻前后的路由器配置