思科路由器IP源地址的攻擊的解決方案

　　對(duì)于思科路由器IP源地址受到攻擊，下面學(xué)習(xí)案例小編就為大家介紹一下具體的方法吧，歡迎大家參考和學(xué)習(xí)。

　　IP源地址欺騙可以應(yīng)用在多種不同的攻擊方式中，例如TCP SYN flooding、UDP flooding、ICMP flooding等，偽造的源地址可以是不存在的地址，或者是最終攻擊目標(biāo)的地址。

　　具體的解決方法如下：

　　一、在UDP flooding中，攻擊者則是通過(guò)連接目標(biāo)系統(tǒng)的changen端口到偽造源地址指向的主機(jī)的echo端口，導(dǎo)致changen端口產(chǎn)生大量的隨機(jī)字符到echo端口，而echo端口又將接收到的字符返回，最后導(dǎo)致兩個(gè)系統(tǒng)都因耗盡資源而崩潰。

　　二、為了防御UDP flooding，我們必須防止路由器的診斷端口或服務(wù)向管理域之外的區(qū)域開放，如果不需要使用這些端口或者服務(wù)，應(yīng)該將其關(guān)閉，防止IP源地址欺騙的最有效方法就是驗(yàn)證源地址的真實(shí)性，在Cisco路由器上，我們可以采用下列兩種方法：

　　1、在網(wǎng)絡(luò)邊界實(shí)施對(duì)IP源地址欺騙的過(guò)濾，阻止IP源地址欺騙的一個(gè)最簡(jiǎn)單有效的方法是通過(guò)在邊界路由器使用向內(nèi)的訪問(wèn)列表，限制下游網(wǎng)絡(luò)發(fā)進(jìn)來(lái)的數(shù)據(jù)包確實(shí)是在允許接受的地址范圍，不在允許范圍的數(shù)據(jù)將被刪除。同時(shí)，為了追溯攻擊者，可以使用log記錄被刪除的數(shù)據(jù)信息 。

　　2、使用反向地址發(fā)送，使用訪問(wèn)控制列表在下游入口處做ip限制，是基于下游ip地址段的確定性，但在上游入口處，流入數(shù)據(jù)的ip地址范圍有時(shí)是難于確定的。在無(wú)法確定過(guò)濾范圍時(shí)，一個(gè)可行的方法是使用反向地址發(fā)送。

　　三、uRPF的工作原理是：當(dāng)路由器在一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)查找CEF(Cisco Express Forward)表，驗(yàn)證是否存在從該接收接口到包中指定的源地址之間的路由，即反向查找路徑，驗(yàn)證其真實(shí)性，如果不存在這樣的路徑就將數(shù)據(jù)包刪除，相比訪問(wèn)控制列表，uRPF具有很多優(yōu)點(diǎn)，例如：耗費(fèi)CPU資源少、可以適應(yīng)路由器路由表的動(dòng)態(tài)變化(因?yàn)镃EF表會(huì)跟隨路由表的動(dòng)態(tài)變化而更新)，所以維護(hù)量更少，對(duì)路由器的性能影響較小。

　　四、在攻擊中，攻擊者將ping數(shù)據(jù)包發(fā)向一個(gè)網(wǎng)絡(luò)的廣播地址，路由器在接收到該廣播包之后，默認(rèn)會(huì)將這個(gè)第三層廣播轉(zhuǎn)換成第二層廣播，而該廣播網(wǎng)段上的所有以太網(wǎng)接口卡在接收到這個(gè)第二層廣播之后，就會(huì)向主機(jī)系統(tǒng)發(fā)出中斷請(qǐng)求，并對(duì)這個(gè)廣播作出回應(yīng)，從而消耗了主機(jī)資源，并且做出的回應(yīng)可能造成對(duì)源地址所指目標(biāo)的攻擊，所以，在絕大多數(shù)情況下，應(yīng)該在邊界路由器上禁止定向廣播，使用以下接口命令禁止

　　五、在絕大部分情況下，是不需要使用路由器的定向廣播功能的，會(huì)使用定向廣播的特例也有，例如，如果一臺(tái)SMB或者NT服務(wù)器需要讓一個(gè)遠(yuǎn)程的LAN能夠看到自己，就必須向這個(gè)LAN發(fā)送定向廣播，但對(duì)于這種應(yīng)用可以通過(guò)使用WINS服務(wù)器解決。

　　六、當(dāng)前絕大部分的操作系統(tǒng)都可以通過(guò)特別的設(shè)置，使主機(jī)系統(tǒng)對(duì)于ICMP ECHO廣播不做出回應(yīng)，通過(guò)阻止網(wǎng)絡(luò)上的主機(jī)對(duì)ICMP ECHO廣播做出回應(yīng)，可以阻止該廣播網(wǎng)絡(luò)成為攻擊的幫兇。

　　總結(jié)：通過(guò)上面我們可以知道，當(dāng)大量的數(shù)據(jù)涌入一個(gè)接口的時(shí)候，即使使用了訪問(wèn)策略對(duì)ICMP包進(jìn)行了刪除，接口還是可能會(huì)因?yàn)槊τ诓粩鄤h除大量數(shù)據(jù)而導(dǎo)致接口不能提供正常服務(wù)，與被動(dòng)的刪除數(shù)據(jù)相比，一個(gè)主動(dòng)的方法是，在接口上設(shè)置承諾速率限制，將特定數(shù)據(jù)的流量限制在一個(gè)范圍之內(nèi)，允許其適量的通過(guò)，同時(shí)保證了其它流量的正常通過(guò)。