摘要载入中…    请稍等…












内容载入中…    请稍等…

如长时间看不到内容,请关闭浏览器,重新打开此页!

芯友首页 应用软件 编程开发 网络硬件 资源下载 动漫音乐 精美图库 芯友论坛 视频教程 电脑技术QQ群:73422782
 ★★photoshop学友-史上最强播放器★★
 位置:网络硬件>局域网>局域网组建
◎→ 本类最新
升级DNS服务器提高电脑效率(3)
升级DNS服务器提高电脑效率(2)
升级DNS服务器提高电脑效率(1)
局域网路由安全设置(2)
局域网路由安全设置(1)
解决路由器不能上网故障
在PIX防火墙上实现VPN的配置步骤
◎→相关资源
电脑软硬件入门视频教程
局域网基础视频教程
IIS常见问题
电脑组装
电脑配件
BIOS与CMOS故障
局域网基础视频教程
局域网组建
ADSL专题
光纤组网技术
网线专题
◎→ 热门资源
交换机的堆叠与级连的区别(1)
交换机安全的选择(2)
交换机安全的选择(1)
中小企业购买UPS电源四大标准
交换机的堆叠与级连的区别(2)
为Windows配置多个网关
代理服务器介绍以及设置

提防路由攻击成为网络杀手(2)
日期:2008-10-20 20:36:46    来源:互联网
   
  测试完毕,小张神不知鬼不觉地把这个代理软件传到了备份服务器上,安装以后,打开客户端IE浏览器的“工具”菜单下的“Internet选项”,然后打开“连接”选项卡下的“局域网设置”,选择“使用代理服务器”,下面要做的当然就是填写安装proxy+的备份数据库的IP了,端口号是4480,如图3所示

  
网络


  图3

  这样就可以在无人可知的情况下放心上网查看路由器的“万能密码”了。小张现在要做的,就是在备份数据库服务器上安装个软件路由器。然后在总路由表中加一条规则,把公司网管计算机的数据全部转发到备份数据库服务器的软件路由器上,然后通过备份数据库服务器的路由器再转向那个总路由器。做完这些以后,小张在备份数据库服务器的路由器上安装了一个包过滤软件。这样,网管对外的数据包都会被记录下来,至于数据加密的强度,网管觉得telnet是个很不错的登陆方式,方便而且自我感觉安全性不错,实际上,telnet传递的数据是不加密的。小张心里琢磨着,如果采用个什么DES加密,那这么多活说不定都白干了。

路由攻击有理可依

  传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等。由于包过滤是一种保安机制,它通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。网络中的应用虽然很多,但其最终的传输单位都是以数据包的形式出现,这种做法主要是因为网络要为多个系统提供共享服务。例如,文件传输时,必须将文件分割为小的数据包,每个数据包单独传输。每个数据包中除了包含所要传输的内容,还包括源地址、目标地址。数据包是通过互联网络中的路由器,从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则将该包发送到下一个路由器或直接发往下一个网段;否则,将该包丢掉。结构如图4所示。

  
网络


  图4

  在局域网和Internet之间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。于是,小张观察到网管在reboot路由器的时候,就开动了包过滤软件。果然,周一网管进行例行检测的时候,IP数据包就源源不断地传过来了。在观察的时候,小张立刻以最快的速度下载下记录文件,并恢复了出口路由器上的设置,然后删除掉在备份数据库服务器上安装的所有东西并断掉连接。开始在自己的机器上分析拦截下来的数据包。根据以前telnet的数据包试验分析,所以不费吹灰之力,密码的位置在杂乱的数据包中很快就被试验出来了。

  路由防御有道可寻

  后来,小张荣升为网管,针对路由器的安全情况,就进行了如下的修改:合理配置路由器等网络设备,可以避免多数的对路由协议和远程配置端口的攻击;用专用的身份鉴别产品增强路由器等设备的登录安全性;使用双因素身份鉴别产品,这类产品采用一次性口令技术,并且在登录过程中要求相应的认证硬件参与,可以有效消除口令泄密的危险。同时可以通过收回或撤消令牌的办法明确地收回离职管理员的权限。同时,他还准备采用比较可行的手段预防DDOS攻击,包括:

  首先,在各主要入口和关键节点安装能够防范Flooding攻击的防火墙,这样可以在攻击时,将攻击的效果封闭在相对较小的区域内,而不会波及全网,并能够在一定程度上确定攻击来源。这种方法的弊端也是十分明显的,一是代价很高,需要配置比较多的高性能防火墙。另一方面,带宽资源是ISP的主要竞争资源,任何降低带宽的技术都是不利的,而位于骨干节点的防火墙无疑会直接影响ISP所拥有的有效带宽。当然,为了防止自己的小技巧被别人识破,小张制定了规则来避免虚假的TCP/IP地址,这样攻击者就不能用欺骗的方法伪装成来自局域网的消息。如果攻击者假装是内部的机器,用过滤器就能够有效阻止攻击者的攻击了。

  其次,在骨干节点安装网络检测设备,当发现这类攻击时可以通过临时在各路由节点封锁对攻击目标的数据包,从而保护网络带宽和被攻击的服务器。这种方式由于不在骨干线路上增加过滤设备,不会影响网络带宽,因而比前面的方案更加合理。代价是,这种方案需要为网络检测系统配备足够的计算能力,以应付骨干网络上的巨大的数据流量。同时,攻击发生时需要具备比较强的处理能力,并预先攻击发生时的处理规则。

  从上面这些分析看,路由器的安全不容忽视,由此到整个网络看,安全的隐患也不是某个设备的问题,整体的安全协调才是最重要的。知己知彼,才能百战百胜。  [1]
Tags: 
芯友网版权所有 1999-2006 | 著作权与商标声明 | 法律声明 | 服务条款 | 隐私声明 | 联系我们