路由器知识 | 网络教程 |

让路由器远离字典DoS攻击

  针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器。在本文中,你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击。

  你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器。事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理。

  当然,在公网中开放这些端口要比在私网中开放这些端口危险的多。但是,无论是对公网开放还是对私网开放这些端口,你都需要保护你的路由器防止它们受到字典DoS攻击,通过这种攻击,攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。

  不过由于在网络操作系统 12.3(4)T以及以后的版本中都有了增强的登陆功能,因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势:

  在发现连续登陆尝试后,创建一个登陆延迟。

  如果出现太多的登陆尝试失败的话,将不再允许登陆。

  在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。

  如何知道你的路由器中是否包含这些代码?最简单的查找方法是到`全局配置模式(Global Configuration Mode)并且输入`login(登陆)``,这个命令将返回一个选择列表,具体显示如下:

  block-for--用于设置安静模式活动时间周期。

  delay--用于设置连续失败登陆的时间间隔。

  on-failure--用于设置试图登陆失败后的选项。

  on-sucess--用于设置试图登陆成功后的选项。

  quiet-mode--用于设置安静模式的选项。

  如果你的路由器中的网络操作系统中没有这个代码,它将返回一个`无法识别的命令`错误。

  如果你的路由器中没有这个功能,那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能(参照Cisco 网络操作系统增强登陆功能)你还可以使用这个工具来查找你所需要的其他功能。记住,下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。

  用于配置这些功能的最基本的基表的命令是login block-for命令,这也是唯一的命令。一旦你激活了这个命令,其缺省的登陆延迟时间是一秒。在你指定的时间内,如果试图登陆的最大次数超过你所给定的次数的话,系统将拒绝所有的登陆尝试。

  在全局配置模式下,执行下面的命令:

  login block-for (在多长时间内拒绝所有的登陆尝试)

  attempts (如果登陆的次数超过此数)within (在多少秒以内)

  下面给出一个例子

  login block-for 120 attempts 5 within 60

  该命令对系统进行如下配置:如果在60秒以内有五次登陆失败的话,路由器系统将在120秒以内拒绝所有的登陆。如果此时你输入show login的话,你将接收到以下输出信息:

  缺省情况下登陆延迟时间是一秒钟。

  没有配置安静模式访问列表。

  路由器激活了登陆攻击监控程序。

  如果在60秒左右的时间内有五次登陆失败的话,

  系统将禁用登陆操作120秒。

  路由器目前处于正常模式。

  目前的监控窗口还有54秒钟。

  目前的登陆失败次数为0。

  这些信息显示了你的设置,包括缺省的登陆延迟时间为一秒钟,以及其他的附加信息。它还告诉你目前路由器处于正常模式,这意味着路由器目前还允许你登陆。

  如果路由器认为有人对其进行攻击,它将进入安静模式,并且开始拒绝所有的登陆操作。你还可以配置一个ACL,在其中说明这个路由器对哪些主机和网络例外,无论是处于安静模式还是处于其他状态,都允许这些主机和网络登陆路由器。

  下面是这些命令中用于配置系统的一些选项:

  登陆延迟(数字): 在失效登陆后增加延迟的秒数。你可以选择1到10之间的任何数字。

  登陆失败和登陆成功:这些选项允许你选择在登陆成功或者失败时使用的日志和SNMP警告的类型。

  登陆安静模式访问类(ACL数字):增加ACL数字,使用这个选项可以增加一个隔绝列表,无论路由器处于安静模式还是处于正常模式,这个列表中的主机和网络都可以登陆路由器。

  通常情况下,为了安全,我建议在所有的路由器上都激活login block-for选项。这些新功能将可以帮助你更好的保证路由器的安全。

  如果你正好从事这方面的工作,并且你还没有做好准备的话,那么可以考虑只在路由器上使用SSH并且只允许从内网访问。SSH加密所有从PC到路由器的通信信息(包括用户名和密码)。

  要想得到这些新特征的全部命令的参考信息,请登陆到Cisco IOS Login Enhancements Documentation 。

  DDOS攻击器 www.blddos.com

  • 让路由器远离字典DoS攻击 相关内容:
  • 150m无线宽带路由器怎么设置
  • 无线路由器是用于用户上网、带有无线覆盖功能的路由器。 下面是小编为大家整理的关于150m无线宽带路由器的相关资料,希望对您有所帮助!150m无线宽带路由器设置的方法无线路由器是无法单独使用的,我们需要结合调制调解器,所以我们的第一步工作就是需要连接调制调解器和路由...

  • 怎么在路由器中找宽带账号和密码
  • 由于常使用路由器上网,结果自家的宽带账号和密码全忘记了,这时可以在路由器中找到宽带账号和密码,具体请看下面小编介绍的操作方法!在路由器中找宽带账号和密码的方法打开浏览器,在地址栏里输入192.16.1.1,一般是输入这个,有的路由器可能不一样,这个地址在路由器的底部写着呢,可...

  • 输入路由器的账号和密码登录不了怎么办
  • 有时候输入路由器的账号和密码都登录不进去,可能是由于密码忘记了,或者被别人改了,总之进不去,具体请看下面小编介绍的解决方法!输入路由器的账号和密码登录不了的解决方法找到路由器的复位键,上面有Reset标识,此处是突出来的按钮,不同型号的路由器有不同的按钮,如果是凹进去的,...

  • 无线路由器登录的账号和密码忘记了该怎么办
  • 如果无线路由器登录的账号和密码忘记了,就无法登录到无线路由器管理界面,本文小编主要介绍无线路由器登录的账号和密码忘记了的解决方法!无线路由器登录的账号和密码忘记了的解决方法一.通过记住密码的功能找回通过wifi连接电脑。你会说无线路由器的账号和密码都忘记了,还...

  • 路由器怎样查看宽带账号密码
  • 我们用路由器的时候需要把宽带密码输入到路由器里面,那你知道路由器怎么查看宽带账号密码吗?下面小编告诉你!路由器查看宽带账号密码的方法首先我们找到百度浏览器双击打开我们在地址栏输入192.168.0.1进入设置帐号就不要找到了,我的账号是60,一般账号可能您的家的电话,帐号...

  • 怎么从路由器里获取上网帐号和密码
  • 路由器配置简单,不过对于没有网络基础的用户来说,可能不知道怎样从路由器里获取上网帐号和密码,本文小编主要介绍从路由器里获取上网帐号和密码的方法!从路由器里获取上网帐号和密码的方法首先,要使用IP地址(路由器的背面有提示)登录路由器设置界面。老路由器的IP地址通常是...

  • 移动宽带登陆路由器后提示密码错误怎么办
  • 移动宽带很久没有使用路由器登陆,登陆后提示密码错误,怎么回事,下面是小编给大家整理的一些有关移动宽带登陆路由器后提示密码错误的解决方法,希望对大家有帮助!移动宽带登陆路由器后提示密码错误的解决方法如图移动宽带使用路由器登陆后提示界面,如果你的密码并没有修改的话...

  • 重置路由器时忘记宽带账户和密码怎么办
  • 在重置路由器以后需要填写宽带账户和密码。如果忘记宽带账户和密码。这时候不仅不能宽带上网,重置路由器也不成功,具体请看下面小编介绍的解决方法!重置路由器时忘记宽带账户和密码的解决方法拨打中国联通客户服务热线方法1:拨打10010。根据语音提示选择按1号键宽带固话报...

  • 发布时间:2016-04-30 16:40:05 查看更多>>

    路由器知识