论文部分内容阅读
摘要: 针对一些常见的网络攻击,以Cisco路由器为例,探讨如何通过合理配置路由器来确保内部网络安全,实现内网的安全防范。
关键词: 内网;网络攻击;安全防范
中图分类号:TP393.18文献标识码:A文章编号:1671-7597(2011)0510185-01
随着计算机网络技术的发展和应用领域的不断拓宽,互联网在给人们带来方便与快捷的同时,网络安全问题也显得日趋突出。表现在:攻击的种类越来越多,工具越来越复杂,攻击手段越来越隐蔽,攻击的威力越来越大,后果越来越严重以及由于工具的公开,可以实施攻击的人越来越多。本文针对一些常见的网络攻击,探讨如何通过合理配置路由器(以Cisco路由器为例),确保内部网络安全,实现内网的安全防范。
1 IP欺骗防范
IP欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但仍然可以使用各种手段来达到攻击目的,它一般都是利用TCP/IP协议本身存在的一些缺陷来发起攻击。通常情况下,可以借助过滤非公有IP地址、内网的IP地址、回环地址(127.0.0.0/8)、私有IP地址(10.0.0.0/8、172.16.0.0/15和192.168.0.0/16)、科学文档作者测试用IP地址(192.0.2.0/24)、微软APIPA定义的IP地址(169.254.0.0/16)、SUN公司的测试地址(20.20.20.0/24
和204.152.64.0/23),不使用的组播地址(224.0.0.0/4)、以及全网络地址(0.0.0.0/8)访问内部网络而实现或减轻危害。
2 Ping攻击防防范
Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。早期由于部分操作系统不能很好地处理过大的Ping包,从而导致Ping to Death攻击方式。但随着操作系统、网络带宽和计算机硬件的全面升级,现在大的Ping包基本上没有很大的攻击效果(分布式攻击除外)。目前许多黑客通过使用Ping厂播地址的方式,使网络传输导致拥塞。据此,对于进入网络内部的ICMP流,不但要禁止ICMP协议的ECHO、Redirect和Mask-request,还需要禁止Trace Route命令的探测。而对于流出的ICMP流,则可以允许ECHO.Parameter-Problem.Packet-too-big,以及Trace. Route
命令的使用。部分相关配置如下:
Route (Config) # access-list 110 deny icmp any any echo log
Route (Config) # access-list 110 deny icmp any any redirect log
Route (Config) # access-list 110 deny icmp any any mask-request log
Route (Config) # access-list 110 permit icmp any any
Route (Config) # access-list 111 permit icmp any any echo
Route (Config) # access-list 111 permit icmp any any parameter-problem
Route (Config) # access-list 111 permit icmp any any packet-too-big
Route (Config) # access-list 111 permit icmp any any source-quench
Route (Config) # access-list 111 deny icmp any any
Route (Config) # access-list 112 deny udp any any range 33400 34400
Route (Config) # access-list 112 permit udp any any range 33400 34400
當然,也可限制ICMP占用的带宽。
Route (Config-if) # rate-limit output access-group 200 3000000 512000 786000 conform-action transmit exceed-action drop
Route (Config-if) # access-list 200 permit icmp any any echo-reply
3 DoS和DDoS攻击防范
拒绝服务(Denial of Service,DoS)攻击是目前黑客们广泛使用的一种攻击手段,它通过独占网络资源,使其他主机不能正常访问而导致宕机或网络瘫痪。DDoS(分布式拒绝服务,Distributed Denial of Service)则是DoS的特例,黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。当黑客们入侵大量主机以后,在被害主机上安装DDoS攻击程序,控制被害主机,对攻击目标展开攻击;有些DDoS工具因采用多层次的架构,它可以一次控制高达上千台电脑展开攻击,利用这样的方式可以有效地产生极大的网络流量使被攻击的目标瘫痪。DoS和DDoS攻击防范的相关配置如下:
4 Sql蠕虫的防范
SQL蠕虫一直是让企业网络管理人员很头疼的问题,许多时候如果通过Etherpeek针对端口1433、1434抓包会发现,很多用户电脑上面并没有安装SQL服务器,但是仍能监测有蠕虫通过1433端口向外面大量发包。一般来说UDP端口1434都是用来做侦听的,可以在网络设备上过滤掉UDP1434;而TCP端口1433是SQL服务器正常通信需要的端口,并不能全网过滤掉。中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
5 结束语
人们只要上网,就极有可能处在网络攻击之中。尽管网络的安全风险不可避免,但我们可以设法将其降到最低。基于这一出发点,本文通过对路由器进行合理配置,最大限度确保内网安全,但愿对网络管理人员有所帮助。
参考文献:
[1]欧阳梅,网络攻击分析与安全防范[J].科技信息,2010(11).
[2]李响、白建涛,计算机网络攻击及安全防范策略探讨[J].硅谷,2010(4).
[3]刘晓辉,网络安全设计、配置与管理大全[M].北京:电子工业出版社,2009(3).
[4]宋开旭,网络攻击与网络安全分析[J].电脑编程技巧与维护,2009(9).
作者简介:
任文(1965-),男,在读硕士研究生,讲师,研究方向:计算机网络及应用。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
关键词: 内网;网络攻击;安全防范
中图分类号:TP393.18文献标识码:A文章编号:1671-7597(2011)0510185-01
随着计算机网络技术的发展和应用领域的不断拓宽,互联网在给人们带来方便与快捷的同时,网络安全问题也显得日趋突出。表现在:攻击的种类越来越多,工具越来越复杂,攻击手段越来越隐蔽,攻击的威力越来越大,后果越来越严重以及由于工具的公开,可以实施攻击的人越来越多。本文针对一些常见的网络攻击,探讨如何通过合理配置路由器(以Cisco路由器为例),确保内部网络安全,实现内网的安全防范。
1 IP欺骗防范
IP欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但仍然可以使用各种手段来达到攻击目的,它一般都是利用TCP/IP协议本身存在的一些缺陷来发起攻击。通常情况下,可以借助过滤非公有IP地址、内网的IP地址、回环地址(127.0.0.0/8)、私有IP地址(10.0.0.0/8、172.16.0.0/15和192.168.0.0/16)、科学文档作者测试用IP地址(192.0.2.0/24)、微软APIPA定义的IP地址(169.254.0.0/16)、SUN公司的测试地址(20.20.20.0/24
和204.152.64.0/23),不使用的组播地址(224.0.0.0/4)、以及全网络地址(0.0.0.0/8)访问内部网络而实现或减轻危害。
2 Ping攻击防防范
Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。早期由于部分操作系统不能很好地处理过大的Ping包,从而导致Ping to Death攻击方式。但随着操作系统、网络带宽和计算机硬件的全面升级,现在大的Ping包基本上没有很大的攻击效果(分布式攻击除外)。目前许多黑客通过使用Ping厂播地址的方式,使网络传输导致拥塞。据此,对于进入网络内部的ICMP流,不但要禁止ICMP协议的ECHO、Redirect和Mask-request,还需要禁止Trace Route命令的探测。而对于流出的ICMP流,则可以允许ECHO.Parameter-Problem.Packet-too-big,以及Trace. Route
命令的使用。部分相关配置如下:
Route (Config) # access-list 110 deny icmp any any echo log
Route (Config) # access-list 110 deny icmp any any redirect log
Route (Config) # access-list 110 deny icmp any any mask-request log
Route (Config) # access-list 110 permit icmp any any
Route (Config) # access-list 111 permit icmp any any echo
Route (Config) # access-list 111 permit icmp any any parameter-problem
Route (Config) # access-list 111 permit icmp any any packet-too-big
Route (Config) # access-list 111 permit icmp any any source-quench
Route (Config) # access-list 111 deny icmp any any
Route (Config) # access-list 112 deny udp any any range 33400 34400
Route (Config) # access-list 112 permit udp any any range 33400 34400
當然,也可限制ICMP占用的带宽。
Route (Config-if) # rate-limit output access-group 200 3000000 512000 786000 conform-action transmit exceed-action drop
Route (Config-if) # access-list 200 permit icmp any any echo-reply
3 DoS和DDoS攻击防范
拒绝服务(Denial of Service,DoS)攻击是目前黑客们广泛使用的一种攻击手段,它通过独占网络资源,使其他主机不能正常访问而导致宕机或网络瘫痪。DDoS(分布式拒绝服务,Distributed Denial of Service)则是DoS的特例,黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。当黑客们入侵大量主机以后,在被害主机上安装DDoS攻击程序,控制被害主机,对攻击目标展开攻击;有些DDoS工具因采用多层次的架构,它可以一次控制高达上千台电脑展开攻击,利用这样的方式可以有效地产生极大的网络流量使被攻击的目标瘫痪。DoS和DDoS攻击防范的相关配置如下:
4 Sql蠕虫的防范
SQL蠕虫一直是让企业网络管理人员很头疼的问题,许多时候如果通过Etherpeek针对端口1433、1434抓包会发现,很多用户电脑上面并没有安装SQL服务器,但是仍能监测有蠕虫通过1433端口向外面大量发包。一般来说UDP端口1434都是用来做侦听的,可以在网络设备上过滤掉UDP1434;而TCP端口1433是SQL服务器正常通信需要的端口,并不能全网过滤掉。中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
5 结束语
人们只要上网,就极有可能处在网络攻击之中。尽管网络的安全风险不可避免,但我们可以设法将其降到最低。基于这一出发点,本文通过对路由器进行合理配置,最大限度确保内网安全,但愿对网络管理人员有所帮助。
参考文献:
[1]欧阳梅,网络攻击分析与安全防范[J].科技信息,2010(11).
[2]李响、白建涛,计算机网络攻击及安全防范策略探讨[J].硅谷,2010(4).
[3]刘晓辉,网络安全设计、配置与管理大全[M].北京:电子工业出版社,2009(3).
[4]宋开旭,网络攻击与网络安全分析[J].电脑编程技巧与维护,2009(9).
作者简介:
任文(1965-),男,在读硕士研究生,讲师,研究方向:计算机网络及应用。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文