防范交换机恶意攻击的几种应对方案
“梭子蟹炒年糕”通过精心收集,向本站投稿了2篇防范交换机恶意攻击的几种应对方案,下面小编给大家带来防范交换机恶意攻击的几种应对方案,希望能帮助到大家!
篇1:防范交换机恶意攻击的几种应对方案
防范交换机恶意攻击的几种应对方案,在使用交换机的时侯,经常会遇到防范交换机恶意攻击的问题,这里将介绍配置加密密码,禁用不必要或不安全的服务,控制台和虚拟终端的安全部署,用SSH代替Telnet等防范交换机恶意攻击的方法,
与路由器不同,交换机的安全威胁主要来自局域网内部。出于无知、好奇,甚至是恶意,某些局域网用户会对交换机进行攻击。不管他们的动机是什么,这都是管理员们不愿看到的。为此,除了在规定、制度上进行规范外,管理员们要从技术上做好部署,让攻击者无功而返。本文以Cisco交换机的安全部署为例,和大家分享自己的经验。
防范交换机恶意攻击:配置加密密码
尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
防范交换机恶意攻击:禁用不必要或不安全的服务
在交换机上尤其是三层交换机上,不同的厂商默认开启了不同的服务、特性以及协议。为提高安全,应只开启必须的部分,多余的任何东西都可能成为安全漏洞。可结合实际需求,打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。
禁用Http Server
no ip http server
禁用IP源路由,防止路由欺骗
no ip source route
禁用Finger服务
no service finger
禁用Config服务
no service config
禁用Hootp服务
no iP hootp server
禁用小的UDP服务
no service udp-small-s
禁用小的TCP服务
no service tcp-small-s
防范交换机恶意攻击:控制台和虚拟终端的安全部署
在控制台上使用与虚拟终端(Vty)线路上配置认证,另外,还需要对Vty线路使用简单的访问控制列表。
Switch(config)#access-list 1 permit 192.168.1.1
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in
防范交换机恶意攻击:用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息,
因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
Switch(config)#hostname test-ssh
test-ssh(config)#ip domain-name net.ctocio.com
test-ssh(config)#username test password 0 test
test-ssh(config)#line vty 0 4
test-ssh(config-line)#login local
test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
test-ssh(config)#ip ssh time-out 180
test-ssh(config)#ip ssh authentication-retries 5
简单说明,通过上述配置将交换机命名为test-ssh,域名为net.ctocio.com,创建了一个命名test密码为test的用户,设置ssh的关键字名为test-ssh.net.ctocio.com,ssh超时为180秒,最大连接次数为5次。
防范交换机恶意攻击:禁用所有未用的端口
关于防范交换机恶意攻击这一点,笔者见过一个案例:某单位有某员工“不小心” 将交换机两个端口用网线直接连接,(典型的用户无知行为),于是整个交换机的配置数据被清除了。在此,笔者强烈建议广大同仁一定要将未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。
防范交换机恶意攻击:确保STP的安全
保护生成树协议,主要是防范其他分公司在新加入一台交换机时,因各单位网络管理员不一定清楚完整的网络拓扑,配置错误使得新交换机成为根网桥,带来意外的BPDU。因此,需要核心管理员启用根防护与BPDU防护。
默认情况下交换机端口禁用根防护,要启用它需要使用以下命令:
Switch(config)#spanning-tree guard root
默认情况下,交换机端口也禁用BPDU防护。启用它需使用下列命令:
Switch(config)#Spanning-tree Portfast bpduguard default
如果要在所有端口上启用BPDU防护,可使用下面的命令:
Switch(config)#Spanning-tree Portfast bpduguard enable
篇2:菜鸟站长应该防范网站被三种手段被恶意攻击
现在很多个人或者企业都有了自己的网站,但是网站经常被恶意攻击,下面分享菜鸟站长应该防范网站被三种手段被恶意攻击,具体是哪三种手段请看下文,需要的朋友可以参考下
随着互联网的发展,很多人都已经有了自己的网站,无论是企业,商家还是个人。以前,做一个网站都得在上千上万元。如今,网站建设的的价格也不再那么贵了,几百块钱就可以做一个网站。而且,这些几百块钱的网络公司大多多都是自学成才的,技术根本没法和专业的网络公司相比。
虽然这些自学成才的网络公司技术不行,但是,对于中小企业,商家,个人的网站建设还是绰绰有余的。他们的建站价格低,也正满足了很多人想做网站又舍不得上千上万块钱的建站费用的人。我,就是一名典型的菜鸟站长。从2010年的时候就开始自学网站建设,到现在有四年多的时间了。在这个过程了,遇到过太多太多的问题,总是想劲各种办法给解决好。因为,一旦解决不了,不但挣不了钱,还得亏钱。最终,我都是通过百度,上淘宝,或者花钱找人给解决。
最终,我也成立了自己的邳州连虎网络公司,既然是菜鸟,做的网站也非常的便宜。我不是靠这个来维护生活,只是业余,有做的就做罢了,不像他们专业的网络公司。网站的类型只要有源码就能做网站,比如论坛,商城,团购,博客,企业站等。
网站被恶意攻击的三种情况:
在这四年多中,做了近百个网站,几乎都没有问题,一切正常。可是,我却经历过我自己的网站被攻击的事情。可能是我的网站比客户的网站出名吗,人一旦出名了就不好,网站一出名了就会被恶意攻击。下面,邵连虎博客就结合自己遇到过网站被攻击的问题与大家说下。
1,论坛被恶意注册,恶意发贴
前几年,我做过几个论坛。可是,总会发现网站被恶意刷流量,恶意注册,发贴 。我的网站空间是限制流量的,一个月5000M的流量半个月左右就被刷完了。所以,一个月不到,我就得找空间商把流量给清零了。
每天登录论坛,总会发现恶意注册的帐号有很多,都是英文名的。而且,总是会有很多帖子,都是是一些英文的文章多,而且还有一些非法的信息。我每天光是删除这些垃圾帖子就得费好长的时间。
2,博客被恶意留言
我的网站每天都有几十个恶意留言,都是不良信息。所以,我的博客都采用留言审核的形式。为了防止有人恶意留言,我就把文章限制关闭5天以后的文章留言,这样留言的确是少了点。不过,还是每天有几个恶意留言。
对于博客恶意留言,我猜对方用的是恶意留言软件。我的博客一天也没有多少留言,也好清理,我想,一个人气高的博客恶意留言得多少呀?那在此就问下松哥,您的卢松松博客一天有多少恶意留言呀?可能,人家有技术解决恶意留言吧,如果真有,希望松哥会分享给我们这些菜鸟站长。
3,网络公司网站被恶意攻击的最严重
我的邳州连虎网络公司网站建立有好几年了,而且经常排名邳州网站建设这个关键词第一名。但是,我这个网站却国为被恶意攻击删除程序重新做站弄了好多次,
因为网站上总是会恶意发表文章,挂黑链,空间上被恶意添加文件。
对于网站被恶意发表文章的,我的做法是直接禁止注册,不允许发表文章。网站上经常在底部出现了一现恶意的链接,都是非常的信息,这个我是没本事给弄掉了。而且,我用FTP登录空间的时候,竟然被恶意上传了好多个文件。我不明白,为什么我的FTP登录信息只有我自己知道,别人是怎么把这些文件给上传的呢?
防止网站被恶意攻击的方法:
网站被恶意攻击,可以说网站就不好发展了。以前,只要网站被攻击,我的办法就是,直接把程序给删除了,重新再做一个新站。可是,做个新站后不久,还是会被恶意攻击。
前些天,我看着我一次次的删除程序,重新做站,真的有点伤心和难过。我要是不解决网站安全问题,以后还怎么做站呀?所以,我咨询了一下我的空间商,是不是FTP信息泄露造成的,他也教了我一些方法,再加上百度找到的结果,下面给大家分享下。
1,使用安全的网站源码
许多网站被攻击,最明显的表现就是使用的源码有漏洞,有人就是利用你源码的漏洞给添加了一些恶意代码,上传程序的。对于他们是如何攻击的,我不感兴趣,因为那是小人用的方法。
所以,大家做网站的时候,最好使用一些有名的程序,像织梦,discuz,wordpress等程序。对于其他一些免费下载的也要注意了,这些免费的有可能就已经被人添加囝恶意代码。以前我安装了一个插件就会自动添加友情链接。
2,做好网站的防范措施
这个方法是我的空间商飞特互联教我的,我用了他四年多的空间,对我非常的热情。他说要严格的设置目录权限,可是我不懂怎么设置。因为我从来没有弄过到底是啥东东,既然人家都说了,我还是得好好研究一下了。
虚拟主机的后台有一个设置执行权限,一个设置写入权限。这二个的功能感觉是差不多的,一个执行,一个写入,我的做法是,直接关闭了网站的写入权限。大家需要注意的,这样设置后,FTP就不能使用上传文件了。而且,子目录绑定了域名的网站也会被锁定。而且我也测试了,网站的后台就没法上传文件了,可以用复制粘贴的方法。
对于这种方法我不知道效果怎么样,如今我已设置好几天了,也不知道效果如何。而且这种做法是不是真的可以防止恶意攻击呢。我想,FTP都不能使用了,肯定也就不会被恶意上传文章了,至于网站的黑链我就不知道如何来防止了,他们是不是通过FTP来完成的就不知晓了。
3,网站安全卫士
百度了解下如何防止网站被攻击,找到一篇360网站安全卫士的文章,而且拒文章介绍,可以很好的防止网站被恶意攻击,还有百度的加速乐。另外,需要注意的是,一般备案过的网站才能够使用360安全卫士的加速(国家政策所致,没有办法)以及其他服务,如果没有备案目前只提供了高仿dns防护服务。
对于网站备案过的,建议大家用下360网站安全卫士体验一下效果如何,还有百度的加速乐也可以试下。邵连虎博客从来没有使用过,也就不和大家分享经验了,根本无经验。
最后,希望那些专业的站长朋友们,有空能给我们这些菜鸟站长们分享一篇可以真正防止网站被攻击的教程,在此先谢谢了。我们做个网站都很不容易,再受到别人恶意网站,网站要想长久发展真的有点困难。菜鸟站长们,我们也要努力的学习,把网站安全问题给克服了,这样,才可以保证我们的网站可以长久的运营。
【防范交换机恶意攻击的几种应对方案】相关文章:
3.升级flash插件,防范Flash动画恶意链接WEB安全
5.恶意读后感
6.《恶意》读书笔记
8.恶意杂文随笔
10.非恶意拖欠证明
文档为doc格式
