思科路由器IP源地址的攻擊的解決方案

2020-07-24 12:10:18

字體：大中小

來源：轉載

供稿：網友

一、在UDP flooding中，攻擊者則是通過連接目標系統的changen端口到偽造源地址指向的主機的echo端口，導致changen端口產生大量的隨機字符到echo端口，而echo端口又將接收到的字符返回，最后導致兩個系統都因耗盡資源而崩潰。
二、為了防御UDP flooding，我們必須防止路由器的診斷端口或服務向管理域之外的區域開放，如果不需要使用這些端口或者服務，應該將其關閉，防止IP源地址欺騙的最有效方法就是驗證源地址的真實性，在Cisco路由器上，我們可以采用下列兩種方法：
1、在網絡邊界實施對IP源地址欺騙的過濾，阻止IP源地址欺騙的一個最簡單有效的方法是通過在邊界路由器使用向內的訪問列表，限制下游網絡發進來的數據包確實是在允許接受的地址范圍，不在允許范圍的數據將被刪除。同時，為了追溯攻擊者，可以使用log記錄被刪除的數據信息。
2、使用反向地址發送，使用訪問控制列表在下游入口處做ip限制，是基于下游ip地址段的確定性，但在上游入口處，流入數據的ip地址范圍有時是難于確定的。在無法確定過濾范圍時，一個可行的方法是使用反向地址發送。
三、uRPF的工作原理是：當路由器在一個接口上收到一個數據包時，它會查找CEF(Cisco Express Forward)表，驗證是否存在從該接收接口到包中指定的源地址之間的路由，即反向查找路徑，驗證其真實性，如果不存在這樣的路徑就將數據包刪除，相比訪問控制列表，uRPF具有很多優點，例如：耗費CPU資源少、可以適應路由器路由表的動態變化(因為CEF表會跟隨路由表的動態變化而更新)，所以維護量更少，對路由器的性能影響較小。
四、在攻擊中，攻擊者將ping數據包發向一個網絡的廣播地址，路由器在接收到該廣播包之后，默認會將這個第三層廣播轉換成第二層廣播，而該廣播網段上的所有以太網接口卡在接收到這個第二層廣播之后，就會向主機系統發出中斷請求，并對這個廣播作出回應，從而消耗了主機資源，并且做出的回應可能造成對源地址所指目標的攻擊，所以，在絕大多數情況下，應該在邊界路由器上禁止定向廣播，使用以下接口命令禁止
五、在絕大部分情況下，是不需要使用路由器的定向廣播功能的，會使用定向廣播的特例也有，例如，如果一臺SMB或者NT服務器需要讓一個遠程的LAN能夠看到自己，就必須向這個LAN發送定向廣播，但對于這種應用可以通過使用WINS服務器解決。
六、當前絕大部分的操作系統都可以通過特別的設置，使主機系統對于ICMP ECHO廣播不做出回應，通過阻止網絡上的主機對ICMP ECHO廣播做出回應，可以阻止該廣播網絡成為攻擊的幫兇。
總結：通過上面我們可以知道，當大量的數據涌入一個接口的時候，即使使用了訪問策略對ICMP包進行了刪除，接口還是可能會因為忙于不斷刪除大量數據而導致接口不能提供正常服務，與被動的刪除數據相比，一個主動的方法是，在接口上設置承諾速率限制，將特定數據的流量限制在一個范圍之內，允許其適量的通過，同時保證了其它流量的正常通過。

上一篇：路由器流量控制介紹

下一篇：磊科路由器防火墻設置的問題分析