華為路由器關(guān)閉協(xié)議的方法
華為路由器關(guān)閉協(xié)議的方法
在某些特定的網(wǎng)絡(luò)環(huán)境中,我們可以通過(guò)關(guān)閉某部分不需要的協(xié)議來(lái)防御病毒攻擊,增加網(wǎng)絡(luò)安全,下面學(xué)習(xí)啦小編就以華為路由器為例給大家介紹這部分的內(nèi)容,歡迎大家參考和學(xué)習(xí)。
關(guān)閉協(xié)議的方法:
一、TCP建立連接的三次握手過(guò)程中,一方向另一方發(fā)送的第一個(gè)報(bào)文設(shè)置了SYN位,當(dāng)某臺(tái)設(shè)備接收到一個(gè)請(qǐng)求服務(wù)的初始報(bào)文時(shí),該設(shè)備響應(yīng)這個(gè)報(bào)文,發(fā)回一個(gè)設(shè)置了SYN和ACK位的報(bào)文,并等待源端來(lái)的ACK應(yīng)答。
二、如果發(fā)送方并不回復(fù)ACK,主機(jī)就會(huì)因?yàn)槌瑫r(shí)而結(jié)束連接。當(dāng)主機(jī)在等待這個(gè)連接超時(shí)的過(guò)程中,連接處于半開(kāi)狀態(tài),半開(kāi)連接消耗了主機(jī)的資源。在等待三次握手過(guò)程中耗盡主機(jī)資源就形成了SYN攻擊,尤其是將成千上萬(wàn)的SYN發(fā)往某臺(tái)主機(jī),則該主機(jī)將很快崩潰掉。
三、在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前,TCP攔截通過(guò)對(duì)其進(jìn)行攔截和驗(yàn)證來(lái)阻止這種攻擊,也就是說(shuō),路由器會(huì)代替主機(jī)進(jìn)行連接,這時(shí)我就需要在路由器上配置TCP攔截來(lái)防止這種攻擊了。
四、TCP攔截可以在兩種模式上工作:攔截和監(jiān)視,在攔截模式下,路由器攔截所有到達(dá)的TCP同步請(qǐng)求,并代表服務(wù)器建立與客戶機(jī)的連接,并代表客戶機(jī)建立與服務(wù)器的連接。如果兩個(gè)連接都成功地實(shí)現(xiàn),路由器就會(huì)將兩個(gè)連接進(jìn)行透明的合并,路由器有更為嚴(yán)格的超時(shí)限制,以防止其自身的資源被SYN攻擊耗盡,在監(jiān)視模式下,路由器被動(dòng)地觀察half-open連接的數(shù)目。
五、當(dāng)一個(gè)路由器因?yàn)槠渌x的門限值被超出而確認(rèn)服務(wù)器正遭受攻擊時(shí),路由器就主動(dòng)刪除連接,直到half-open的連接值降到小于門限值,有兩個(gè)因素用來(lái)判斷路由器是否正在遭受攻擊,如果超過(guò)了兩個(gè)高門限值中的一個(gè),則表明路由器正遭受攻擊,直到門限值已經(jīng)降至兩個(gè)低門限值以下。
六、half-open連接總數(shù)與每分鐘half-open連接的數(shù)量比率是相聯(lián)系的。任何一個(gè)最大值到達(dá),TCP攔截就被激活并且開(kāi)始刪除half-open連接,一旦TCP攔截被激活,這兩個(gè)值都必須下降到TCP攔截的低設(shè)置值,以便停止刪除連接。
最后說(shuō)一下,攔截模式下,路由器響應(yīng)到達(dá)的SYN請(qǐng)求,并代替服務(wù)器發(fā)送一個(gè)響應(yīng)初始源IP地址的SYN、ACK報(bào)文,然后等待客戶機(jī)的ACK,如果收到ACK,再將原來(lái)的SYN報(bào)文發(fā)往服務(wù)器,路由器代替原來(lái)的客戶機(jī)與服務(wù)器一起完成三次握手過(guò)程。