3.關閉廣域網上一些不必要的服務 在Cisco路由器上,有很多服務廣域網上根本不必要,但是仍然默認開啟,反而造成了安全漏洞,給黑客以可乘之機。所以建議予以手工關閉。 例如:利用訪問控制列表(acl)只開啟實際使用的tcp、udp端口。同時,執行no service tcp-small-servers, no service udp-small-servers。這些tcp、udp協議上小服務,平時不常使用,但是這些端口輕易被人利用,所以應該關閉。 No ip finger,finger協議主要在unix下使用,類似于Cisco IOS中的show user,假如開啟輕易被黑客看到連接用戶,進一步猜測弱密碼,進行合法登陸。假如需要防范密碼猜測的風險,在路由器上就應該首先把這個服務關閉。 在撥號線路上,一般都采用transport input none,關閉諸如telnet、rlogin等易受攻擊的后臺程序。
4.No ip direct-broadcast Ping of death攻擊據說最早源于俄羅斯,就是通過許多用戶同時對同一目的進行ping,造成flood攻擊的效果。但是在實戰上效果并不明顯。因為在flood的同時,攻擊方也必須付出同樣的資源。因此,有人對這種攻擊手段進行了優化。攻擊的目的端從某一特定的ip地址,轉換成了類如192.10.6.255這樣一個網段廣播地址。使這個網段內所有的機器都對這樣的請求做出應答,從而達到事半功倍的效果。 對應手段為:在路由器廣域網接口no ip direct-broadcast,這樣除了隔離255.255.255.255的全廣播以外,對于類似192.10.6.255網段廣播地址也予以隔離,可以大大減少了被flood攻擊的風險,也能減少主干線路上不必要的流量。或者,在完成網絡上的連通性測試(ping測試)之后,利用訪問控制列表,關閉ICMP協議中的echo和echo reply。
