加入收藏 | 设为首页 | 会员中心 | 我要投稿 南京站长网 (https://www.025zz.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 教程 > 正文

如何用路由器防御Dos攻击方法

发布时间:2020-12-05 10:38:14 所属栏目:教程 来源:清晨
导读:过去最强DDOS工具之一:DRDOS 一款新出的威力巨大的DDOS工具 支持系统: 2000以上 2K/XP/2003 在DOS下的命令是ddos 211.90.117.14 80 -a:0 -l:110 -t:10 211.90.117.14 这个可以替换成你想要攻击对方的IP DoS (Denial of Service)攻击便是利用合理的服务请求

       过去最强DDOS工具之一:DRDOS 一款新出的威力巨大的DDOS工具 支持系统: 2000以上 2K/XP/2003 在DOS下的命令是ddos 211.90.117.14 80 -a:0 -l:110 -t:10  211.90.117.14 这个可以替换成你想要攻击对方的IP

  DoS (Denial of Service)攻击便是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
  dos攻击的方法很多,但它们都具有一些共同的典范特征,例如:利用欺骗的源地址、利用网络协议的缺陷、利用操作系统或软件的毛病、在网络上产生大量的无用数据包消耗服务资源等。所以,要防御dos攻击,就必须从这些攻击的特征入手,分析其特征,制定合适的策略和方法。
  Smurf攻击的特征形貌
  Smurf攻击是根据它的攻击程序命名的,是一种ICMP echo flooding攻击。
  在如此的攻击中,ping包中包含的欺骗源地址指向的主机是最终的受害者,也是主要的受害者;而路由器连接的广播网段成为了攻击的帮凶(类似一个放大器,使网络流量敏捷增大),也是受害者。
  防御Smurf攻击的方法
  根据Smurf攻击的特征,可以从两个方面入手来防御Smurf的攻击:一是防止自己的网络成为攻击的帮凶即第一受害者 ;二是从最终受害者的角度来防御Smurf攻击。下面就从这两个方面来讨论防御的的测路和方法。
  一、拒绝成为攻击的帮凶
  Smurf要利用一个网络作为“流量放大器”,该网络必定具备以下特征:
  1、路由器允许有IP源地址欺骗的数据包通过 ;
  2、路由器将定向广播(发送到广播地址的数据包)转换成为第二层(MAC层)的广播并向连接网段广播 ;
  3、广播网络上的主机允许对ping广播作出回应 ;
  4、路由器对主机回应的ping数据流量未做限制 ;
  所以,可以根据以上四点来重新规划网络,以使自己的网络不具备会成为“流量放大器”的条件 。过去最强DDOS工具之一:DRDOS一款新出的威力巨大的DDOS工具支持系统:2000以上2K/XP/2003在DOS下的命令是ddos211.90.117.1480-a:0-l:110-t:10 211.90.117.14这个可以替换成你想要攻击对方的IP
om”文档解压到同一个目录中。
  伪造的源地址可以是不存在(不允许在公网上发布)的地址,或者是最终攻击目的的地址。
  在UDP flooding中,攻击者则是通过连接目的系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而瓦解。
  注意:为了防御UDP flooding,我们必须防止路由器的诊断端口或服务向管理域之外的区域开放,如果不需要利用这些端口或者服务,应该将其关了。
  禁止定向广播
  在Smurf攻击中,攻击者将ping数据包发向一个网络的广播地址,例如:192.168.1.255DoS攻击,dos。同时,为了追溯攻击者,可以利用log记载被删除的数据信息 。
  b、利用反向地址发送
  利用访问控制列表在下游入口处做ip限制,是基于下游ip地址段的确定性 。但在上游入口处,流入数据的ip地址范围偶然是难于确定的。在无法确定过滤范围时,一个可行的方法是利用反向地址发送(Unicast Reverse Path Forwarding)。
  反向地址发送是Cisco路由器的新版IOS提供的一项特性,简称uRPF。
  禁止主机对ping广播作出反应
  当前绝大部分的操作系统都可以通过特别的设置,使主机系统对于ICMP ECHO广播不做出回应。
  相比访问控制列表,uRPF具有很多优点,例如:泯灭CPU资源少、可以顺应路由器路由表的动态变化(因为CEF表会追随路由表的动态变化而更新),所以维护量更少,对路由器的性能影响较小。
  uRPF是基于接口配置的,配置命令如下:
  (config)# ip cef
  (config-if)# ip verify unicast reverse-path
  注意:uRPF的实施,CEF必须是全局打开,并在配置接口上也是启用的。

致命武力升级档
授权:共享软件 大小:396KB 语言: 简体

(编辑:南京站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读