斐讯路由器高级设置防止dos攻击
Dos攻击对于计算机的安全来说威胁还是比较大的。斐讯路由器高级设置里防止dos攻击可以较为有效的防止这个事情的方法。那么如何通过斐讯路由器高级设置来防止dos攻击呢?
选择菜单中的“安全设置-高级安全设置”:
数据包统计时间间隔:从字面意思就很好理解了,就是多长时间对通过无线路由器的数据流进行一次采样分析,这里的值和“系统工具-流量统计”中的“数据包统计时间间隔”是同一个,改哪里都可以。
DOS攻击防范:只有开启了这项设置,下边的几种具体防范措施才能被勾选。
开启ICMP-FLOOD攻击过滤:PING命令发出的数据包就是ICMP信息流的一种,旧版本的系统在收到大量ICMP数据包时会导致系统瘫痪,传说中的“死亡之PING”就属这类攻击。
ICMP-FLOOD数据包阈值:当ICMP数据包的发送速率大于这里设置的值,将被认为是ICMP-FLOOD攻击。
开启UDP-FLOOD攻击过滤:在OSI参考模型中,TCP和UDP是传输层的两种协议,UDP协议的特点在于数据包的发送和接收不需要事先建立连接,比如DNS服务就使用的UDP53端口对外提供服务(详细信息请参考WINDOWS下常用的服务以及对应的端口一文)。
开启TCP-SYN-FLOOD攻击过滤:上边说了UDP,再来说说TCP,SYN是进行TCP通讯时建立连接时的一种状态,也就是传说中的同步状态,攻击主机可以向受害主机发送大量的SYN请求,然而攻击者并不完成同步,这样受害者只会傻傻的等,很阴险的说。
忽略来自WAN口的PING:一旦开启此功能,则任何广域网主机都无法PING通无线路由器的WAN口。
禁止来自LAN口的PING包通过路由器:这项功能是禁止局域网的主机发起对广域网主机的PING操作。
这样通过对斐讯路由器高级设置就能很好的保卫无线网络的安全的。这个方法对于其它路由器来说也是非常必要的,而像极路由这样的路由器虽然设置过程不同但也很有必要设置下的。
路由器阻挡DOS攻击的绝招: 使用扩展访问列表 扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show IP access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。
路由器阻挡DOS攻击的绝招:
扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show IP access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYN Flood攻击,这时用户就可以改变访问列表的配置,阻止DoS攻击。
使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。例如,WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效,这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列,而SYN
Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYN Flood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。
逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。
使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。
Cisco在IOS 11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYN Flood攻击内部主机。
在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。
在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。
使用基于内容的访问控制
基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。
CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。
CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC可以有效防止SYN
以上介绍的几种方法,对付不同类型的DoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中需要根据自身情况和路由器的性能来选择使用适当的方式。
