路由器在我們的生活中不可缺少，而且也是到處攻擊的主要對(duì)象，那路由器怎么防dos攻擊呢？了解網(wǎng)絡(luò)安全常識(shí)，首先就要了解常見電腦黑客攻擊類型與預(yù)防方法，下面佰佰安全網(wǎng)小編就帶您認(rèn)識(shí)一下吧。

1、禁止主機(jī)對(duì)ping廣播作出反應(yīng)

當(dāng)前絕大部分的操作系統(tǒng)都可以通過特別的設(shè)置，使主機(jī)系統(tǒng)對(duì)于ICMP ECHO廣播不做出回應(yīng)。通過阻止放大器網(wǎng)絡(luò)上的主機(jī)對(duì)ICMP ECHO(ping)廣播做出回應(yīng)，可以阻止該廣播網(wǎng)絡(luò)成為攻擊的幫兇。

2、限制icmp echo的流量

當(dāng)大量的數(shù)據(jù)涌入一個(gè)接口的時(shí)候，即使使用了訪問策略對(duì)ICMP包進(jìn)行了刪除，接口還是可能會(huì)因?yàn)槊τ诓粩鄤h除大量數(shù)據(jù)而導(dǎo)致接口不能提供正常服務(wù)。

與被動(dòng)的刪除數(shù)據(jù)相比，一個(gè)主動(dòng)的方法是，在接口上設(shè)置承諾速率限制(committed access rate，簡(jiǎn)稱CAR)，將特定數(shù)據(jù)的流量限制在一個(gè)范圍之內(nèi)，允許其適量的通過，同時(shí)保證了其它流量的正常通過。

在UDP flooding中，攻擊者則是通過連接目標(biāo)系統(tǒng)的changen端口到偽造源地址指向的主機(jī)的echo端口，導(dǎo)致changen端口產(chǎn)生大量的隨機(jī)字符到echo端口，而echo端口又將接收到的字符返回，最后導(dǎo)致兩個(gè)系統(tǒng)都因耗盡資源而崩潰。

注意：為了防御UDP flooding，我們必須防止路由器的診斷端口或服務(wù)向管理域之外的區(qū)域開放，如果不需要使用這些端口或者服務(wù)，應(yīng)該將其關(guān)閉。

防止IP源地址欺騙的最有效方法就是驗(yàn)證源地址的真實(shí)性，在Cisco路由器上，我們可以采用下列兩種方法：

a、在網(wǎng)絡(luò)邊界實(shí)施對(duì)IP源地址欺騙的過濾。阻止IP源地址欺騙的一個(gè)最簡(jiǎn)單有效的方法是通過在邊界路由器使用向內(nèi)的訪問列表，限制下游網(wǎng)絡(luò)發(fā)進(jìn)來的數(shù)據(jù)包確實(shí)是在允許接受的地址范圍，不在允許范圍的數(shù)據(jù)將被刪除。同時(shí)，為了追溯攻擊者，可以使用log記錄被刪除的數(shù)據(jù)信息。

b、使用反向地址發(fā)送 。使用訪問控制列表在下游入口處做ip限制，是基于下游ip地址段的確定性 。但在上游入口處，流入數(shù)據(jù)的ip地址范圍有時(shí)是難于確定的。在無法確定過濾范圍時(shí)，一個(gè)可行的方法是使用反向地址發(fā)送(Unicast Reverse Path Forwarding)。

反向地址發(fā)送是Cisco路由器的新版IOS提供的一項(xiàng)特性，簡(jiǎn)稱uRPF。uRPF的工作原理是：當(dāng)路由器在一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)查找CEF(Cisco Express Forward)表，驗(yàn)證是否存在從該接收接口到包中指定的源地址之間的路由，即反向查找路徑，驗(yàn)證其真實(shí)性，如果不存在這樣的路徑就將數(shù)據(jù)包刪除。相比訪問控制列表，uRPF具有很多優(yōu)點(diǎn)，例如：耗費(fèi)CPU資源少、可以適應(yīng)路由器路由表的動(dòng)態(tài)變化(因?yàn)镃EF表會(huì)跟隨路由表的動(dòng)態(tài)變化而更新)，所以維護(hù)量更少，對(duì)路由器的性能影響較小。

關(guān)于網(wǎng)絡(luò)安全小知識(shí)，佰佰安全網(wǎng)小編為您介紹和普及這么多了，看完上面的介紹，您對(duì)“路由器怎么防dos攻擊”這個(gè)問題了解多少了呢？如果你想了解更多關(guān)于預(yù)防dos攻擊的詳細(xì)知識(shí)，您可以關(guān)注我們佰佰安全網(wǎng)上的相關(guān)內(nèi)容介紹。

責(zé)任編輯:慕丹萍