思科路由器IP源地址的攻击的解决方案

这篇具有很好参考价值的文章主要介绍了思科路由器IP源地址的攻击的解决方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


 
一、在UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。
二、为了防御UDP flooding,我们必须防止路由器的诊断端口或服务向管理域之外的区域开放,如果不需要使用这些端口或者服务,应该将其关闭,防止IP源地址欺骗的最有效方法就是验证源地址的真实性,在Cisco路由器上,我们可以采用下列两种方法:
1、在网络边界实施对IP源地址欺骗的过滤,阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器使用向内的访问列表,限制下游网络发进来的数据包确实是在允许接受的地址范围,不在允许范围的数据将被删除。同时,为了追溯攻击者,可以使用log记录被删除的数据信息 。
2、使用反向地址发送,使用访问控制列表在下游入口处做ip限制,是基于下游ip地址段的确定性,但在上游入口处,流入数据的ip地址范围有时是难于确定的。在无法确定过滤范围时,一个可行的方法是使用反向地址发送。
三、uRPF的工作原理是:当路由器在一个接口上收到一个数据包时,它会查找CEF(Cisco Express Forward)表,验证是否存在从该接收接口到包中指定的源地址之间的路由,即反向查找路径,验证其真实性,如果不存在这样的路径就将数据包删除,相比访问控制列表,uRPF具有很多优点,例如:耗费CPU资源少、可以适应路由器路由表的动态变化(因为CEF表会跟随路由表的动态变化而更新),所以维护量更少,对路由器的性能影响较小。
四、在攻击中,攻击者将ping数据包发向一个网络的广播地址,路由器在接收到该广播包之后,默认会将这个第三层广播转换成第二层广播,而该广播网段上的所有以太网接口卡在接收到这个第二层广播之后,就会向主机系统发出中断请求,并对这个广播作出回应,从而消耗了主机资源,并且做出的回应可能造成对源地址所指目标的攻击,所以,在绝大多数情况下,应该在边界路由器上禁止定向广播,使用以下接口命令禁止
五、在绝大部分情况下,是不需要使用路由器的定向广播功能的,会使用定向广播的特例也有,例如,如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己,就必须向这个LAN发送定向广播,但对于这种应用可以通过使用WINS服务器解决。
六、当前绝大部分的操作系统都可以通过特别的设置,使主机系统对于ICMP ECHO广播不做出回应,通过阻止网络上的主机对ICMP ECHO广播做出回应,可以阻止该广播网络成为攻击的帮凶。
总结:通过上面我们可以知道,当大量的数据涌入一个接口的时候,即使使用了访问策略对ICMP包进行了删除,接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务,与被动的删除数据相比,一个主动的方法是,在接口上设置承诺速率限制,将特定数据的流量限制在一个范围之内,允许其适量的通过,同时保证了其它流量的正常通过。

文章来源地址https://www.toymoban.com/news/detail-452770.html

到了这里,关于思科路由器IP源地址的攻击的解决方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为路由器如何管理ip地址

    对于一个企业来说,管理好内部的网络是非常重要的,这样才能保障企业的正常运营,因为现代办法已经越来越离不开网络,一但网络出现问题,那么造成损失将会是巨大的,想要管理好一个网络,那么路由器的QOS功能是必不可少的,本篇为大家介绍的是华为路由器基于IP的

    2024年02月05日
    浏览(50)
  • newifi新路由怎么更改路由器的IP地址?

    newifi新路由默认使用的网段,与电脑不在同一个网段,怎么处在同一个网段呢?在解决新路由与电脑不在同一个网段的方法,就是更改路由器的LAN IP地址,只要把新路由的LAN IP设置为与电脑同网段,就能够访问或者方便设置,现在我就示范一下,怎么更改新路由的LAN IP地址 1、打开浏

    2024年02月08日
    浏览(64)
  • 路由器ip地址怎么设置才能上网

    在互联网时代,路由器已经成为了我们生活中不可或缺的一部分。而路由器的IP地址则是路由器配置的关键。那么,如何设置路由器的IP地址才能上网呢?虎观代理小二二将为您提供详细的步骤和指导。 一、确认路由器IP地址 在开始设置路由器的IP地址之前,您需要先确定您的

    2024年02月06日
    浏览(49)
  • 路由器DHCP分配IP地址规则

    路由器DHCP分配IP地址的机制: 先设置一个IP地址池,假设是192.168.1.100-192.168.1.199一共100个。 来一个请求,看一下是不是以前请求过的地址,如果是,还是返回以前给过的IP,然后将到期时间(有些路由器默认是120分钟)延长一下。到期的IP没延长请求,那么这个IP就重新放回地址

    2024年02月02日
    浏览(47)
  • 查看路由器IP地址的方法汇总

    一、路由器常见品牌及对应IP地址 一般来说,路由器的地址都是固定内设的,可以通过网络进行查看。 D-Link路由器IP地址:   192.168.0.1 TP-Link路由器IP地址: 192.168.1.1 Linksys路由器IP地址: 192.168.1.1 3Com路由器IP地址:   192.168.2.1 NETGEAR路由器IP地址: 192.168.1.1 华为路由器IP地址

    2024年02月08日
    浏览(46)
  • 金浪路由器的IP地址知识详解

      一、IP地址可以采用24位网络地址、8位主机地址,这样就有了较多的网段,但每个网段内的主机数目很少,这样一来,对于多于256个主机的网络,就必须分配多个网段,其问题是很多的网络给路由器造成了难以忍受的负担。 二、IP把网络地址和主机地址一起包装在一个32位的

    2024年02月05日
    浏览(50)
  • 路由器常见的默认IP地址清单汇总篇

    在实际生活中,人们难免会遇到需要对路由器进行一番配置,但又不知道设备的默认IP地址的情况。如果是自家的路由器,大不了硬重置(长按reset键);但如果是别人的,恰巧他们又不知道该如何重新设定各种账号密码或参数,问题就比较大条了。 为了化解这种尴尬,感兴

    2024年02月08日
    浏览(40)
  • 如何解决路由器无法指派IP地址的问题

    在现在生活中,路由器担当了很多要的作用,兼职较多服务器功能,这样的规划确实方便了管理和维护,但也为网络的安全、稳定运行埋下了隐患,一旦网络发生故障,对整个局域网的影响几乎是毁灭性的,本篇介绍如何解决路由器无法分配IP地址。 一 、如果发现客户端大部

    2024年02月05日
    浏览(50)
  • 1.ensp给计算机和路由器配置IP地址,更改路由器的时钟和名称

    首先对一个网络做出如下规划 两台计算机分别在一个网段,PC1在192.168.0.0/24网段,PC2在192.168.2.0/24网段。 两台路由器相连的接口在192.168.1.0/24网段。 这里要注意的是路由器的Ethernet 0/0/8是路由器的接口,而Ethernet 0/0/0-Ethernet 0/0/7则是交换机接口。 1.给计算机配置IP地址,网关,

    2024年02月08日
    浏览(63)
  • TP-LINK路由器固定IP地址

    使用TP-link路由器给电脑指定IP地址方法:绑定IP和Mac地址。 1.进入路由器 :打开浏览器-输入192.168.1.1 2.输入管理密码:工控机所使用的路由器管理密码为123456  3. 记住IP和对应的MAC地址(121是工控机地址,102是小电脑地址)    4.添加到绑定设置 注:绑定IP与mac后无法ping通工

    2024年02月11日
    浏览(81)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包