遭到拒絕服務攻擊的路由器的解決辦法

2019-11-05 00:44:57

字體：大中小

來源：轉載

供稿：網友

　　本來沒什么的，但是親身經歷了的，就寫下來給大家看看，不要見笑。
　　前一個星期，我在上網，忽然發現公司德網速非凡慢。我就登陸到路由器上看看。這是我們公司的其中一個網段中心路由器，是cisco 4600.它上連到160電報局。是兩條2M的PCM的專線。我用 sho int sX 他出現的現象是下載的流量非常低，才300K多，但上聯的數據每條都達到了4M多。我的上聯是2M啊！根據經驗，我覺得有問題，可能是遭到攻擊了。但我又沒有用防火墻，主要是帶寬太窄，怕影響網速。我在它的網段下的一臺SOLAORIS8的計算機上。用snoop 命令，來抓包。發現有大量的來自國外的網段的計算機，不停地向我發大量的廣播包。由此我可以判定，我收到了國外黑客的DDOS攻擊。
　　但它的計算機也接收我的回包，這樣的話，它也受影響啊？由此判定，向我發包的計算機，不是它本身的計算機，一定別人的計算機，被它黑掉了，被他控制了計算機。他可能寫了一個小程序，不停地向我發廣播包。
　　這個攻擊的原理是，由于互聯網是基于TCP/ip PRotocal的，他每發給我一個廣播包到我的陸由器，我的路由器下的網段的每臺計算機都要回給她一個應答包。也就是說我在這個路有器下有500臺計算機，他發一個廣播包，我就要回500個應答包。這就造成了我的陸由器下行量很小，但上行量非常大，最終造成網絡癱瘓。
　　解決的辦法是，我從solairs 8的計算機上，用snoop 命令，看到了發包的ipaddr或域名，我就陸由器上丟掉它。具體是這樣做的。
　　我在config t 模式下：
　　ip route xxx.xxx.xxx.0 255.255.255.0.null 0(其中XXX.是他過來包的ip addre)
　　后來我一共禁掉了8個網段，終于好了。我發現用 access list 也可以禁掉，道理是一樣的。但這樣就會出現一個問題，有一些國外得網站不能訪問了。要是它再換網段，在這樣禁掉，那到最后，什么都不能訪問了。
　　看來這不是解決的最終辦法，我就開始看有關cisco ios 的書。終于找到了。問題出在我的陸由器IOS的版本太低了，是11。x?，F在的版本12。0以上，就能實現屏蔽廣播包這個功能！把陸由器的IOS升級到12。0以上，在每個上連的端口上寫上一句話：no ip unreachables .就可以了。
　　事情到這就解決了，希望給大家一點幫助，給沒有升級的路由器，馬上升級吧！看來要多留意新的知識和技術啊。
　　
　　FW:泛洪攻擊，用擴展列表應該也可以解決問題啊
　　deny udp any any eq snmp log-input
　　deny icmp any any echo log-input

上一篇：基于Cisco路由器與Proxy的防火墻系統

下一篇：配置Cisco路由器的安全考慮