巧設路由器實例 有效防范DDOS攻擊
本文主要分析了目前對于DDOS的攻擊,那么我們現在如何去防范DDOS攻擊呢?下面的文章將給予我們詳細的解答。看過此文我們可以有個詳細的參考。
正如環(huán)境變化導致全球氣候的變幻莫測一樣,企業(yè)網絡安全威脅也日益紛繁與復雜。在這復雜的暗流中,Dos攻擊路由器成為主流,對現在而言,進行DoS攻擊的防御還是比較困難的。不過即使它難于防范,也不是說我們就應該逆來順受,實際上防止DoS并不是絕對不可行的事情。企業(yè)網絡的使用者是各種各樣的,時時刻刻與DoS做斗爭,不同的角色使用不同的方式來防范。
分析
我們知道路由器是通向企業(yè)的門戶,成為黑客的目標已經有了一段時間,現在的黑客似乎變得更加精明。他們往往會這樣,當發(fā)現鎖定的目標前門被鎖上后,就會改而尋找漏洞的大門是否敞開。路由器攻擊之所以吸引黑客有幾個原因:不同于計算機系統,路由器通常處于企業(yè)的基礎設施內部,與計算機相比,它們受監(jiān)視器和安全政策的保護相對薄弱,為不法之徒提供了為非作歹的躲藏之處。如果路由器配置不當,廠商提供的默認口令或則使用過于簡單密碼,很容易進入企業(yè)內部網絡。一旦受到危害,路由器就可以被用作掃描行動、欺騙連接的各個平臺,并作為發(fā)動dos攻擊的一塊跳板,來實現黑客網絡攻擊的意圖。
那么應該如何采取適當的策略來抵御DOS攻擊呢? 盡管網絡安全專家都在著力開發(fā)如何阻止DoS攻擊的設備,但效果都不太理想,因為DoS攻擊利用了TCP協議本身的弱點。我們可以利用正確配置企業(yè)級路由器,再用其它相關的工具進行檢測,方能有效防止DoS攻擊。現在我們以華為3COM路由器為例,華為3COM路由器中的已經具有許多防止DoS攻擊的特性,來保護路由器自身和企業(yè)內部網絡的安全。
根據檢測建立訪問列表
擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。Show access-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網絡中出現了大量建立TCP連接的請求,這表明網絡受到了SYN Flood攻擊,這樣就可以改變訪問列表的配置,來有效阻止DoS攻擊。如圖一
【編輯推薦】
