扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器。事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理。
当然,在公网中开放这些端口要比在私网中开放这些端口危险的多。但是,无论是对公网开放还是对私网开放这些端口,你都需要保护你的路由器防止它们受到字典DoS攻击,通过这种攻击,攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。
不过由于在网络操作系统 12.3(4)T以及以后的版本中都有了增强的登陆功能,因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势:
在发现连续登陆尝试后,创建一个登陆延迟。
如果出现太多的登陆尝试失败的话,将不再允许登陆。
在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。
如何知道你的路由器中是否包含这些代码?最简单的查找方法是到"全局配置模式(Global Configuration Mode)并且输入"login(登陆)"",这个命令将返回一个选择列表,具体显示如下:
block-for--用于设置安静模式活动时间周期。
delay--用于设置连续失败登陆的时间间隔。
on-failure--用于设置试图登陆失败后的选项。
on-sucess--用于设置试图登陆成功后的选项。
quiet-mode--用于设置安静模式的选项。
如果你的路由器中的网络操作系统中没有这个代码,它将返回一个"无法识别的命令"错误。
如果你的路由器中没有这个功能,那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能(参照Cisco 网络操作系统增强登陆功能)你还可以使用这个工具来查找你所需要的其他功能。记住,下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。
用于配置这些功能的最基本的基表的命令是login block-for命令,这也是唯一的命令。一旦你激活了这个命令,其缺省的登陆延迟时间是一秒。在你指定的时间内,如果试图登陆的最大次数超过你所给定的次数的话,系统将拒绝所有的登陆尝试。 针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器。在本文中,你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击。
你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的(DoS)攻击可能成功的攻击你的Cisco路由器。事实上,我敢打赌,即便是大多数网络管理员没有全部打开这些端口,那么他至少也会打开其中一个端口用于路由器的管理。
当然,在公网中开放这些端口要比在私网中开放这些端口危险的多。但是,无论是对公网开放还是对私网开放这些端口,你都需要保护你的路由器防止它们受到字典DoS攻击,通过这种攻击,攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。
不过由于在网络操作系统 12.3(4)T以及以后的版本中都有了增强的登陆功能,因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势:
在发现连续登陆尝试后,创建一个登陆延迟。
如果出现太多的登陆尝试失败的话,将不再允许登陆。
在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。
如何知道你的路由器中是否包含这些代码?最简单的查找方法是到"全局配置模式(Global Configuration Mode)并且输入"login(登陆)"",这个命令将返回一个选择列表,具体显示如下:
block-for--用于设置安静模式活动时间周期。
delay--用于设置连续失败登陆的时间间隔。
on-failure--用于设置试图登陆失败后的选项。
on-sucess--用于设置试图登陆成功后的选项。
quiet-mode--用于设置安静模式的选项。
如果你的路由器中的网络操作系统中没有这个代码,它将返回一个"无法识别的命令"错误。
如果你的路由器中没有这个功能,那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能(参照Cisco 网络操作系统增强登陆功能)你还可以使用这个工具来查找你所需要的其他功能。记住,下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。
用于配置这些功能的最基本的基表的命令是login block-for命令,这也是唯一的命令。一旦你激活了这个命令,其缺省的登陆延迟时间是一秒。在你指定的时间内,如果试图登陆的最大次数超过你所给定的次数的话,系统将拒绝所有的登陆尝试。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。