用路由器防范网络中的恶意攻击
“星际冲浪手”通过精心收集,向本站投稿了10篇用路由器防范网络中的恶意攻击,以下是小编整理后的用路由器防范网络中的恶意攻击,希望你喜欢,也可以帮助到您,欢迎分享!
篇1:无线路由器ARP攻击的防范
下面主要讲解了无线路由器以及ARP攻击的相关内容,首先是路由器ARP的排除技巧,之后对于连接错误等问题进行一下解析。
无线路由器ARP攻击故障排除技巧
随着现在社会信息技术的飞速发展,如今企业网络办公化也正式步入了无线网的领域中。构建无线网最大的好处就是组网无需布线,使用便捷、经济。所以对多数企业来说,无疑是组网方案的最佳选择。大量的无线路由器被用于企业中,使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。
在企业无线网办公中经常会出现一些使用手册上未涉及到的疑难和故障,有时难以应付,无法解决。下面就无线网络中由路由器引发的典型故障进行分析,并提供解决方案。
连接错误线路不通
网络线路不通有很多原因造成,但首先要检查的是连接配置上有无错误。
在确保路由器电源正常的前提下首先查看宽带接入端。路由器上的指示灯可以说明宽带线路接入端是否正常,由说明书上可以辨认哪一个亮灯为宽带接入端及用户端,观察其灯闪亮状态,连续闪烁为正常,不亮或长亮不闪烁为故障。我们可以换一根宽带胶线代替原来的线路进行连接。
如果故障依旧,请查看路由器的摆放位置与接收电脑的距离是否过远或中间有大型障碍物阻隔。这时请重新放置路由器,使无线路由器与接收电脑不要间隔太多障碍物,并使接收电脑在无线路由器的信号发射范围之内即可。
无线网卡的检查也必不可少,可以更换新的网卡并重新安装驱动程序进行调试,在网卡中点击“查看可用的无线连接”刷新“网络列表”后设置网卡参数,并在“属性”中查看有无数据发送和接收情况,排除故障。
当然路由器自身的硬件故障也是导致线路不通的直接原因,但这并不是我们所能解决的范围,应及时联系厂商进行维修或更换。
设置不当无法连接
“设置”可以分为计算机设置和路由器设置两个方面:计算机的设置相对简单,点击进入“网上邻居”属性,开启“无线网络连接”,然后设置“IP地址”、“子网掩码”及“网关”,只要使计算机的IT地址与无线路由器的IT地址在同一网段即可。“网关”的设置可以参见网卡说明书中所述,一般情况下与路由器IP地址相同。
路由器的设置相对较为专业、复杂些。首先在系统浏览器中输入无线路由器IT地址,在弹出的登录界面中输入路由器的管理员登录名及密码即可进入设置界面,此时需要检查网络服务商所给你的宽带账号及口令是否正确,如不正确,更正后尝试连接,如果连接后仍无法打开页面请点击进入路由器中的“安全设置”选项,查看是否开启“网络防火墙”、“IP地址过滤”以及“MAC地址过滤”选项,并做更正和设置,排除无法开启网络的故障,
网络攻击导致联网异常
ARP攻击以及非法入侵未设防的无线局域网已经是现在导致联网异常的典型案例了。由于安全设置的疏忽以及后期安全防护的不足,导致少数具有恶意的 对企业的重要信息及保密数据造成了极大的危害。
ARP攻击会造成网络IT冲突,数据的丢失及溢出,更有甚者会导致网络瘫痪。这些现象对企业组网的威胁都是很大的。
首先进入“带有网络的安全模式”在无线网卡属性处更换电脑的IT地址,之后查看是否可以联网。另外购买安装专业的杀毒软件及网络防火墙是比较捷径的方法之一。
其次进入路由器“安全设置”选项进行高级设置。现在的大部分无线路由器都具有WEP的密码编码功能,用最长128bit的密码键对数据进行编码,在无线路由器上进行通信,密码键长度可以选择40bit或128bit。利用MAC地址和预设的网络ID来限制哪些无线网卡和接入点可以进入网络,完全可以确保网络安全。对于非法的接收者来说,截听无线网的信号是非常困难的,从而可以有效地防范 的入侵破坏和非法用户恶意的网络攻击。
最后要注意,在没有特殊需要或不具有专业技能的情况下禁止开启路由器中的“远程WEB管理”功能选项。
路由器部分功能失灵无法使用
这个问题大多存在于一些老款的无线路由器中,当我们在配置路由器高级功能选项的时候,在反复确认连接无误的情况下就是有部分功能无法开启使用,这时你也许第一想到是否是硬件出了故障,其实不然。
首先我们要查看一下路由器系统的版本,在查阅无线路由器说明书后,看该功能是否支持这个版本的路由器系统。路由器的系统通常有许多版本,每个版本支持不同的功能。如果你当前的软件版本不支持这个功能,那就应该找到相应的软件,先进行升级。
点击进入无线路由器的“系统工具”选项,进入后选择“软件升级”,此时在对话界面中会显示当前的软件版本和硬件版本,在弹出的对话框中输入“文件名”(即系统升级的文件名)和“TFTP服务器IP”后点击“升级”即可。
升级时要注意:选择与当前硬件版本一致的软件进行升级,在升级过程中千万不要关闭路由器的电源,否则将导致路由器损坏而无法使用,在网络稳定的情况下升级过程很短,整个过程不会超过一分钟。当你发现路由器在升级完毕后重启,请不要担心,这是正常的,一般升级过后,路由器工作情况会更加稳定,并增加一些适用于此版本更多的新功能。
篇2:如何防范网络免受 的攻击
如何防范网络免受 的攻击!
网络安全是一个值得注意的问题,网络在让你共享信息和资源的时候,同样会带给你一些烦恼,诸如电脑病毒,非法的入侵者,甚至是发泄不满的员工能够在一 立的机器上带给你相当大的危害。
我们可以注意所有与网络安全相关的领域
局域网突然消失的时候,你就会知道网络安全为什么是如此的重要。以下就是一些在你安装局域网的时候应该想到的安全措施。
◆虚拟数据仍然需要保证实体上的安全。这就意味着你应该把你的服务器放在一个独立的环境下,把磁盘驱动器从不需要的工作地点移走,并且在你的办公室安装一个报警系统。你应该明白世界上没有任何一款安全软件可以阻止别人进入你的办公室并和侵入你的电脑。
◆小心安全漏洞。许多电脑病毒不过是令人烦恼的恶意程序,但仅仅只需要一个病毒就足以致命。安装可靠的杀毒软件,时时更新,并且培训员工让他们学会使用。及时更新漏洞补丁,往往很多 都是利用这些已知的漏洞来完成入侵的。编者曾经做网络的经验告诉我,企业中很多管理员对补丁的更新做的并不及时。
◆网络安全是一件日常工作,
一定要留心观察会影响局域网安全的一些变化。注意时时更新和下载操作系统的安全补丁和漏洞修复。将对一些目录和网络资源的访问权限按实际需要加以分配,并且迅速注销一些离开你公司的员工的帐号。利用网络登陆和安全测试来检测你的网络的安全漏洞和可能的非法入侵者。养成良好的备份和日志分析习惯,即使是很不起眼的入侵,您的日志也会详细的记录下来,这对网络管理是十分重要。
◆注意你的密码,一个差劲的密码可能会威胁到你整个网络的安全。避免密码中包含一些字典词汇和私人信息,并且要求用户经常更换密码。当一位员工离开公司的时候,一定要将注销他的密码作为终止过程的一部分。
◆不要让麻烦找你,当你通过局域网拨号上网或是通过专门的因特网连接到外网的时候,一定要采取特别的防范措施。通过加密的密码或者是回拨上网的方式防止拨号上网攻击,这样可以只允许被认可的电话号码访问。
◆安装防火墙。如果你将局域网直接连接到因特网的时候,一定要安装防火墙来检测出流和入流的情况,软件防火墙同样能够防止诸如木马等恶意病毒等进入并且破坏你的电脑系统。
让我们想想还有没有其他的预防措施?例如IDS,IPS等等。网络在随着计算机技术的发展在迅速增长,我们使用的很多软件和设备在N年后总会发现有很多的不足,这是技术所决定的。因此编者要提醒用户,不间断的补充知识,养成良好的习惯,才会真正阻止 的入侵。
也许有人说网络永远都有漏洞,那我也可以很肯定的回答,良好的习惯可以最大限度的解决这种威胁。
篇3:网络恶意攻击呈现五大特点
美国网络安全公司赛门铁克一名专家日称,网络 正在不断变换手法向电脑用户发动恶意攻击,由于这些方法更具隐蔽性,所以防范难度越来越大,
网络恶意攻击呈现五大特点
。根据赛门铁克软件安全部门经理约翰・哈里森的观点,目前网络恶意攻击呈现出以下新特点:
一、过去电脑用户只有在登录色情、赌博等不良网站时或使用盗版软件时才容易遭到恶意攻击,但现在不少旅游、购物和游戏等网站也成为 用来发动恶意攻击的平台。
二、过去的恶意攻击没有组织性,大多由不谙世事的年轻人所为,但现在的网络攻击不仅组织性高,而且专业性强,由不同的软件开发小组操控,
三、过去网络 往往通过传递邮件的方式发动恶意攻击,这种方式比较容易识别,但目前 是趁用户下载某些软件之际悄悄发动攻击,令用户难以识别。
四、利用第三方的广告将恶意软件侵入用户系统,比如 会利用某个广告提醒用户,其系统已感染病毒,当用户根据广告提示去链接某个据说能杀病毒的网站时,这时“潜伏”在这个网站的恶意软件便会侵入用户系统。
五、会设计用户信任的银行等网站的标识,当用户放松警惕登录这一网站时,便会遭到恶意软件的攻击。
哈里森还说,有迹象表明,今后 有可能会利用社交网站,向用户发送看似来自朋友或亲人的带病毒的邮件。
篇4:巧设路由器实例 有效防范DDOS攻击
本文主要分析了目前对于DDOS的攻击,那么我们现在如何去防范DDoS攻击呢?下面的文章将给予我们详细的解答,看过此文我们可以有个详细的参考。
正如环境变化导致全球气候的变幻莫测一样,企业网络安全威胁也日益纷繁与复杂。在这复杂的暗流中,Dos攻击路由器成为主流,对现在而言,进行DoS攻击的防御还是比较困难的。不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DoS并不是绝对不可行的事情。企业网络的使用者是各种各样的,时时刻刻与DoS做斗争,不同的角色使用不同的方式来防范。
分析
我们知道路由器是通向企业的门户,成为 的目标已经有了一段时间,现在的 似乎变得更加精明。他们往往会这样,当发现锁定的目标前门被锁上后,就会改而寻找漏洞的大门是否敞开。路由器攻击之所以吸引 有几个原因:不同于计算机系统,路由器通常处于企业的基础设施内部,与计算机相比,它们受监视器和安全政策的保护相对薄弱,为不法之徒提供了为非作歹的躲藏之处。如果路由器配置不当,厂商提供的默认口令或则使用过于简单密码,很容易进入企业内部网络。一旦受到危害,路由器就可以被用作扫描行动、欺骗连接的各个平台,并作为发动dos攻击的一块跳板,来实现 网络攻击的意图。
那么应该如何采取适当的策略来抵御DOS攻击呢? 尽管网络安全专家都在着力开发如何阻止DoS攻击的设备,但效果都不太理想,因为DoS攻击利用了TCP协议本身的弱点。我们可以利用正确配置企业级路由器,再用其它相关的工具进行检测,方能有效防止DoS攻击。现在我们以华为3COM路由器为例,华为3COM路由器中的已经具有许多防止DoS攻击的特性,来保护路由器自身和企业内部网络的安全。
根据检测建立访问列表
扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYN Flood攻击,这样就可以改变访问列表的配置,来有效阻止DoS攻击。如图一
使用TCP拦截
华为3COM路由器引入了TCP拦截功能,这项功能可以有效防止SYN Flood攻击内部主机。在TCP连接数请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并,
在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。
在华为3COM路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过,这样拦截如同虚设。
使用单一地址逆向转发
逆向转发是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为222.99.1.11的数据包,但是路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止攻击和其他基于IP地址伪装的攻击。使用逆向转发功能需要将路由器设为快速转发模式,并且不能将启用逆向转发功能的接口配置为CEF交换。逆向转发在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二逆向转发所需要的操作维护较少;第三逆向转发作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。
基于内容的访问控制
通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。基于内容的访问控制正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。基于内容的访问控制每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,基于内容的访问控制可以有效防止SYN Flood和Fraggle攻击。
总结:路由器是企业内部网络的第一道防护屏障,也是 攻击的一个重要目标,如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种DoS攻击是非常必要的。密切关注事态发展,并肩负起保护网络各方面安全的责任,这样才能够避免灾难。及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DoS攻击的有效办法。
篇5:如何巧妙利用路由器设置 防范漏洞攻击
除了ADSL拨号上网外,小区宽带上网也是很普遍的上网方式,如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范 的攻击呢。下面就让我们来实战一番。
目的:限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port.
前提:Router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。
步骤1、在开始菜单中选择运行,在弹出的对话框中输入“cmd”并回车,出现窗口后,在提示符下连接路由器,指令格式为“telnet 路由器IP地址”。当屏幕上要求输入telnet password时 多数路由器显示的是“Login”字样 ,输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enable password时输入密码。
提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。
步骤2、输入指令Router# configure termihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。
步骤3、进入配置模式后,输入指令Router(config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,该指令的作用是设定访问列表 access list ,该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口Port 23(telnet)的任何请求。
步骤4、输入Router config #aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求,
步骤5、最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Router config #access list 101 deny tcp any host 192.168.0.1 eq 3128来完成。
步骤6、到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Router config #aceess -list 101 permit ip any any来允许其他访问请求。
但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下:
输入指令Router config #interface eO/1进入接口 interface ethernet 0/1,然后键入指令Router config-if #ip access-group 101 out 将访问列表实行于此接口上。这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。最后,输入指令write将设定写入启动配置,就大功告成了。
这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。
篇6:防范交换机恶意攻击的几种应对方案
防范交换机恶意攻击的几种应对方案,在使用交换机的时侯,经常会遇到防范交换机恶意攻击的问题,这里将介绍配置加密密码,禁用不必要或不安全的服务,控制台和虚拟终端的安全部署,用SSH代替Telnet等防范交换机恶意攻击的方法,
与路由器不同,交换机的安全威胁主要来自局域网内部。出于无知、好奇,甚至是恶意,某些局域网用户会对交换机进行攻击。不管他们的动机是什么,这都是管理员们不愿看到的。为此,除了在规定、制度上进行规范外,管理员们要从技术上做好部署,让攻击者无功而返。本文以Cisco交换机的安全部署为例,和大家分享自己的经验。
防范交换机恶意攻击:配置加密密码
尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
防范交换机恶意攻击:禁用不必要或不安全的服务
在交换机上尤其是三层交换机上,不同的厂商默认开启了不同的服务、特性以及协议。为提高安全,应只开启必须的部分,多余的任何东西都可能成为安全漏洞。可结合实际需求,打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。
禁用Http Server
no ip http server
禁用IP源路由,防止路由欺骗
no ip source route
禁用Finger服务
no service finger
禁用Config服务
no service config
禁用Hootp服务
no iP hootp server
禁用小的UDP服务
no service udp-small-s
禁用小的TCP服务
no service tcp-small-s
防范交换机恶意攻击:控制台和虚拟终端的安全部署
在控制台上使用与虚拟终端(Vty)线路上配置认证,另外,还需要对Vty线路使用简单的访问控制列表。
Switch(config)#access-list 1 permit 192.168.1.1
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in
防范交换机恶意攻击:用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息,
因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
Switch(config)#hostname test-ssh
test-ssh(config)#ip domain-name net.ctocio.com
test-ssh(config)#username test password 0 test
test-ssh(config)#line vty 0 4
test-ssh(config-line)#login local
test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
test-ssh(config)#ip ssh time-out 180
test-ssh(config)#ip ssh authentication-retries 5
简单说明,通过上述配置将交换机命名为test-ssh,域名为net.ctocio.com,创建了一个命名test密码为test的用户,设置ssh的关键字名为test-ssh.net.ctocio.com,ssh超时为180秒,最大连接次数为5次。
防范交换机恶意攻击:禁用所有未用的端口
关于防范交换机恶意攻击这一点,笔者见过一个案例:某单位有某员工“不小心” 将交换机两个端口用网线直接连接,(典型的用户无知行为),于是整个交换机的配置数据被清除了。在此,笔者强烈建议广大同仁一定要将未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。
防范交换机恶意攻击:确保STP的安全
保护生成树协议,主要是防范其他分公司在新加入一台交换机时,因各单位网络管理员不一定清楚完整的网络拓扑,配置错误使得新交换机成为根网桥,带来意外的BPDU。因此,需要核心管理员启用根防护与BPDU防护。
默认情况下交换机端口禁用根防护,要启用它需要使用以下命令:
Switch(config)#spanning-tree guard root
默认情况下,交换机端口也禁用BPDU防护。启用它需使用下列命令:
Switch(config)#Spanning-tree Portfast bpduguard default
如果要在所有端口上启用BPDU防护,可使用下面的命令:
Switch(config)#Spanning-tree Portfast bpduguard enable
篇7:防范CSRF攻击 避免家用DSL路由器遭劫持
原先被认为只针对网站的一种知名攻击方式,被发现也可以应用在消费级网络设备上,Hexagon Security Group创始人Nathan Hamiel发现, Cross-Site Request Forgery (CSRF,跨站请求伪造)也可用在大多数家用DSL路由器上。
CSRF 并不是什么新技术,早在1988年, Norm Hardy就发现了一种应用信任问题,当时被称作“混淆代理人(confused deputy)” 。CSRF 和“点击劫持”都是“混淆代理人”攻击的例子,而他们主要针对Web浏览器。
什么是 CSRF?
目前流行的 CSRF攻击主要是由攻击者在网页中植入恶意代码或连接,当受害人的浏览器执行恶意代码或者受害人点击连接后,攻击者就可以访问那些被害人身份验证后的网络应用。如果被害人采用多窗口浏览器,攻击者就可以以被害人身份控制浏览器中任何一个窗口中的Web应用。
现实中,这种攻击常被攻击者用来入侵和控制被害者的基于Web的电子邮件帐户。下面介绍一个获取邮箱控制权的例子:
1. 我登陆自己的基于Web的邮箱帐户。
2. 在一封重要邮件还没有收到之前,我决定先在网上随便看看,因此我在多窗口浏览器中新开了一个窗口。
3. 我所访问的这个网站包含了隐藏代码。我的浏览行为激活了隐藏代码,并向我的电子邮件Web服务器发送了一个HTML 请求。这个请求的内容可能是删除我的收件箱中的全部邮件。完了,中招了。
可能我的例子过于简单了,但并不是危言耸听,它反应了CSRF 攻击的力量以及隐蔽性。别忘了,一条简单的HTML请求确实可以删除你的收件箱中的所有邮件。GNUCitizen 有一篇名为“CSRF 揭秘”的文章,详细介绍了攻击细节,下面是我总结的有关CSRF攻击的一些有趣内容:
如果Web程序处于开放状态,那么任何其它 Web页面都可以向这个Web程序发送请求,并且是以用户自己的身份特权进行操作的。
Web应用程序开放越久,这种威胁的可能性就越大
书签网站 是 搭建CSRF攻击陷阱,诱捕普通用户的一个极佳途径。
DSL路由器上的CSRF攻击
Hamiel提出的通过CSRF攻击获取DSL路由器权限的方法和用于网站攻击的方法类似。他所采用的是 Motorola/Netopia 2210 DSL 调制解调器,因此如果你也有类似的设备,一定要加强警惕。具体的攻击步骤和我上面提到的例子相近,因此我就再充当一次受害者:
1. 攒了一辈子钱,终于换了一台新的 DSL路由器,
我激动的把它安装好,开始进行快速配置。
2. 作为多次被黑的老网民,我肯定不希望陌生人访问到我的路由器管理界面,因此我关闭了通过WAN访问路由器的接口。
3. 现在远程管理已经关闭,只有我能访问自己的 DSL管理界面了,再也不用担心路由器的管理员密码被盗了。
4. 我的哥们儿是个网络天才。他知道我刚买了个新的DSL路由器。于是他发给我一封电邮,让我看看他的新网站。
5. 我进入了他的新网站,你猜结果怎么样?我又中招了,我的哥们儿现在已经拥有我的DSL路由器的控制权了。
基本上讲,这都是同一类CSRF攻击。我在哥们儿的网站上激活了一段 HTML请求,这段请求将以下命令发送到我的浏览器上:
连接到我的新 DSL路由器上。
开启远程管理。
在管理员账户上添加一个密码。
从此以后,我新买的DSL路由器就只能由我哥们儿控制了。衰哦。
按下Reset,一切烦恼一扫光
对于这种攻击,路由器的reset按钮是最简单的修复方式。问题是路由器管理密码被修改,并不影响我的日常使用,因此我可能对这种攻击毫无察觉,只有当路由器出现问题,或者我打算修改路由器配置时,才会发现密码被修改了。我还敢打赌,很多读者甚至没有配置过他们的DSL路由器,买回来后只是简单的插上网线,就按照出厂工作模式开始使用路由器了。
结局如何?
随着边缘网络设备被 掌控,接下来 们能做的事情就多了。Hamiel 在Neohaxor.org网站的博客上撰文“CSRF 威胁局域网设备”,对此有详细描述:
“记住, 已经可以远程控制你的路由器了。因此就算你的电脑使用的是内网IP, 还是可以轻易获取你的网络日志。通过日志可以很简单的确认内网IP,并且通过修改路由器设置,使得 通过外网可以直接访问到你的内网IP。因此局域网内的电脑被攻击就不是什么不可能的任务了。”
预防很简单
也许很多人都听到过这种安慰。实际上预防CSRF攻击网络设备很简单,只需要修改网络设备上的默认设置即可,尤其是那些接入互联网的设备,比如DSL路由器。更重要的是,用一个更强壮的密码代替默认的管理员密码。这一点都不难。
我个人建议还要在任何边缘设备(比如DSL路由器)后架设路由器/防火墙设备,这相当于多增加了一道安全屏障。
总结
针对DSL路由器的CSRF攻击相对有效,因为人们在检查恶意软件攻击时很少会想到DSL路由器。因此就算电脑上的恶意软件被清除了,感染的途径却还是畅通无阻。正是由于这种威胁导致的后果相当严重,但是却可以轻易被避免。
篇8:路由器CAR限速策略 防范DoS攻击(一)
对于网站来说,最怕的就是DoS拒绝服务攻击,拒绝服务(DoS)攻击是目前 广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致网络瘫痪,我们可以通过在接入路由器上采用CAR限速策略来达到抵御攻击的目的。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。DoS网络攻击的一个重要特征是网络中会充斥着大量带有非法源地址的ICMP包,我们可以通过在路由器上对ICMP包配置CAR来设置速率上限的方法来保护网络。
工作机制
CAR是Committed Access Rate的简写,意思是:承诺访问速率,CAR主要有两个作用:对一个端口或子端口(Subinterface)的进出流量速率按某个标准上限进行限制;对流量进行分类,划分出不同的QoS优先级。CAR只能对IP包起作用,对非IP流量不能进行限制,另外CAR只能在支持CEF交换(Cisco Express Forward)的路由器或交换机上使用。
要对流量进行控制我们首先要做的是对数据包分类识别(Packet Classification),然后再对其进行流量控制(Access Rate Limiting),CAR 就是两者的结合。其工作流程如图1所示。
图1
首先我们要定义感兴趣的流量,所谓感兴趣的流量就是对其进行流量控制的数据包类型。可以选择以下几种不同的方式来进行流量识别:
(1)基于IP前缀,此种方式是通过rate-limit access list来定义的。
(2)QoS 分组。
(3)IP access list,可通过standard或extended access list来定义,
采用上述方法定义了感兴趣的流量后,进行第二步的流量限制(Traffic Limitation)。CAR采用一种名为token bucket的机制来进行流量限制(如图2所示)。
图2
限流器使用token bucket的算法监视流量flow的带宽利用率。在每个流入的帧到达的时候,就把它们的长度加到token bucket (记号桶)上。每隔0.25毫秒(四千分之一秒),就从token bucket减去CIR(Committed Information Rate,承诺信息速率)或者说是平均限流速率的值。这样做的思路是,保持token bucket等于0,从而稳定数据速率。
限流器允许流量速率突发超出平均速率一定的量。token bucket增长到突发值(以字节为单位)水平之间的质量是允许的有效突发量,这也叫做in-profile traffic(限内流量)。当token bucket 的大小超过了突发值,限流器就认为流量“过大”了。这时我们可以定义一个PIR(Peak Information Rate,峰值信息速率)。当流量超出最大突发值达到PIR的时候,限流器就认为流量违规,这类流量也叫做out-of-profile traffic(限外流量)。所以当实际的流量通过限流器(token bucket)后, 可以看到会有两种情况发生:
(1)实际流量小于或等于用户希望速率,帧离开bucket的实际速率将和其来到的速率一样,bucket内可以看作是空的。流量不会超过用户的希望值。
(2)实际流量大于用户希望速率。帧进入bucket的速率比其离开bucket的速率快,这样在一段时间内,帧将填满该bucket,继续到来的帧将溢出(excess)bucket,则CAR采取相应的动作(一般是丢弃或将其IP前缀改变以改变该token的优先级)。这样就保证了数据流量速率保证在用户定义的希望值内。
篇9:小心网络瘫痪 防止路由器攻击漫谈
本文主要给大家详细的介绍了对于防止网络瘫痪,我们应该如何防止路由器攻击,要进行哪些安全漏洞的设置呢?下面的文章将给你详细解答,
对于 来说,利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期,误导信息流量,使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。
防止路由器攻击之堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露,这就使得 抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。
防止路由器攻击之避免身份危机
常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使 能够浏览系统的配置文件,他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。
防止路由器攻击之禁用不必要服务
拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能,
另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如SNMP和DHCP。只有绝对必要的时候才使用这些服务。
防止路由器攻击之限制逻辑访问
限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止 获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止 搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
使用入站访问控制将特定服务引导至对应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击,但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。
用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量,只允许有效的源地址包离开网络。这有助于防止IP地址欺骗,减小 利用用户系统攻击另一站点的可能性。
篇10:体育运动中恶意攻击性行为的研究
体育运动中恶意攻击性行为的研究
随着体育运动技术、战术水平不断提高和发展,体育比赛越来越激烈,它不仅给运动员以充分发挥技术、战术水平的机会,而且也给人们带来健与美的感受,使它倍受广大群众的喜受.但随之而来,一些运动员在比赛中不能遵守比赛规则,做出了超出规则范围和违反体育道德的恶意攻击性行为.此外,一些观众不能以理智的态度对待赛场上出现的'问题,而是以暴力手段攻击他人,做出一些侵犯他人人身、财产安全的举动.运动场上的暴力行为是典型的恶意攻击性行为,引起了社会各界的普遍关注.
作 者:刘凯 作者单位:四川信息职业技术学院 刊 名:职业时空(上半月版) PKU英文刊名:CAREER HORIZON 年,卷(期):2007 3(10) 分类号:G80 关键词:【用路由器防范网络中的恶意攻击】相关文章:
文档为doc格式
