国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學習啦>學習電腦>網(wǎng)絡知識>路由器>路由器知識大全>

如何防止路由器遭受字典攻擊

時間: 若木635 分享

  你可能還沒有認識到使用針對Telnet、SSH或者HTTP端口的字典式拒絕服務的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實上,我敢打賭,即便是大多數(shù)網(wǎng)絡管理員沒有全部打開這些端口,那么他至少也會打開其中一個端口用于路由器的管理。

  針對路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪問權 或者可能導致用戶無法使用路由器。在本文中,你可以找到如何使用Cisco 網(wǎng)絡操作系統(tǒng)的增強登陸功能來防止這種攻擊。

  當然,在公網(wǎng)中開放這些端口要比在私網(wǎng)中開放這些端口危險的多。但是,無論是對公網(wǎng)開放還是對私網(wǎng)開放這些端口,你都需要保護你的路由器防止它們受到字典DoS攻擊,通過這種攻擊,攻擊者可能獲得路由器的訪問權或者在你的網(wǎng)絡中創(chuàng)建一個簡單的服務出口。

  不過由于在網(wǎng)絡操作系統(tǒng) 12.3(4)T以及以后的版本中都有了增強的登陸功能,因此你可以為你的路由器提供額外的保護。這些新的增強的登陸功能提供以下各個方面的優(yōu)勢:

  在發(fā)現(xiàn)連續(xù)登陸嘗試后,創(chuàng)建一個登陸延遲。

  如果出現(xiàn)太多的登陸嘗試失敗的話,將不再允許登陸。

  在系統(tǒng)日志中創(chuàng)建相應的登陸信息或者發(fā)送SNMP陷阱來警告和記錄有關失敗和不允許登陸的額外信息。

  如何知道你的路由器中是否包含這些代碼?最簡單的查找方法是到"全局配置模式(Global Configuration Mode)并且輸入"login(登陸)"",這個命令將返回一個選擇列表,具體顯示如下:

  block-for--用于設置安靜模式活動時間周期。

  delay--用于設置連續(xù)失敗登陸的時間間隔。

  on-failure--用于設置試圖登陸失敗后的選項。

  on-sucess--用于設置試圖登陸成功后的選項。

  quiet-mode--用于設置安靜模式的選項。

  如果你的路由器中的網(wǎng)絡操作系統(tǒng)中沒有這個代碼,它將返回一個"無法識別的命令"錯誤。

  如果你的路由器中沒有這個功能,那么使用Cisco 網(wǎng)絡操作系統(tǒng)的特征導航來為你的路由器找到這個功能(參照Cisco 網(wǎng)絡操作系統(tǒng)增強登陸功能)你還可以使用這個工具來查找你所需要的其他功能。記住,下載網(wǎng)絡操作系統(tǒng)代碼和訪問特征導航工具需要Cisco的維護合同。

  用于配置這些功能的最基本的基表的命令是login block-for命令,這也是唯一的命令。一旦你激活了這個命令,其缺省的登陸延遲時間是一秒。在你指定的時間內(nèi),如果試圖登陸的最大次數(shù)超過你所給定的次數(shù)的話,系統(tǒng)將拒絕所有的登陸嘗試。

  在全局配置模式下,執(zhí)行下面的命令:

  login block-for (在多長時間內(nèi)拒絕所有的登陸嘗試)

  attempts (如果登陸的次數(shù)超過此數(shù))within (在多少秒以內(nèi))

  下面給出一個例子

  login block-for 120 attempts 5 within 60

  該命令對系統(tǒng)進行如下配置:如果在60秒以內(nèi)有五次登陸失敗的話,路由器系統(tǒng)將在120秒以內(nèi)拒絕所有的登陸。如果此時你輸入show login的話,你將接收到以下輸出信息:

  缺省情況下登陸延遲時間是一秒鐘。

  沒有配置安靜模式訪問列表。

  路由器激活了登陸攻擊監(jiān)控程序。

  如果在60秒左右的時間內(nèi)有五次登陸失敗的話,

  系統(tǒng)將禁用登陸操作120秒。

  路由器目前處于正常模式。

  目前的監(jiān)控窗口還有54秒鐘。

  目前的登陸失敗次數(shù)為0。

  這些信息顯示了你的設置,包括缺省的登陸延遲時間為一秒鐘,以及其他的附加信息。它還告訴你目前路由器處于正常模式,這意味著路由器目前還允許你登陸。

  如果路由器認為有人對其進行攻擊,它將進入安靜模式,并且開始拒絕所有的登陸操作。你還可以配置一個ACL,在其中說明這個路由器對哪些主機和網(wǎng)絡例外,無論是處于安靜模式還是處于其他狀態(tài),都允許這些主機和網(wǎng)絡登陸路由器。

  下面是這些命令中用于配置系統(tǒng)的一些選項:

  登陸延遲(數(shù)字): 在失效登陸后增加延遲的秒數(shù)。你可以選擇1到10之間的任何數(shù)字。

  登陸失敗和登陸成功:這些選項允許你選擇在登陸成功或者失敗時使用的日志和SNMP警告的類型。

  登陸安靜模式訪問類(ACL數(shù)字):增加ACL數(shù)字,使用這個選項可以增加一個隔絕列表,無論路由器處于安靜模式還是處于正常模式,這個列表中的主機和網(wǎng)絡都可以登陸路由器。

  通常情況下,為了安全,我建議在所有的路由器上都激活login block-for選項。這些新功能將可以幫助你更好的保證路由器的安全。

  如果你正好從事這方面的工作,并且你還沒有做好準備的話,那么可以考慮只在路由器上使用SSH并且只允許從內(nèi)網(wǎng)訪問。SSH加密所有從PC到路由器的通信信息(包括用戶名和密碼)。

  要想得到這些新特征的全部命令的參考信息,請登陸到Cisco IOS Login Enhancements Documentation 。

如何防止路由器遭受字典攻擊

你可能還沒有認識到使用針對Telnet、SSH或者HTTP端口的字典式拒絕服務的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實上,我敢打賭,即便是大多數(shù)網(wǎng)絡管理員沒有全部打開這些端口,那么他至少也會打開其中一個端口用于路由器的管理。
推薦度:
點擊下載文檔文檔為doc格式
114306