“水果师傅”通过精心收集,向本站投稿了6篇思科路由器安全之TCP连接,今天小编在这给大家整理后的思科路由器安全之TCP连接,我们一起来阅读吧!
- 目录
篇1:思科路由器安全之TCP连接
思科路由器安全之TCP连接
对于网络上常见的攻击,想必大家都有所了解,其实大多数攻击都是基于TCP连接,发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击,下面,我以思科路由器为例,给大家介绍如何拦截非法的TCP连接。
所谓的TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答。
在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,思科路由器会代替主机进行连接,这时就需要在思科路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。
一、拦截模式
思科路由器拦截所有到达的TCP同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接,如果两个连接都成功地实现,思科路由器就会将两个连接进行透明的合并,路由器有更为严格的超时限制,以防止其自身的资源被SYN攻击耗尽。
二、监视模式
思科路由器被动地观察half-open连接的数目,如果超过了所配置的时间,思科路由器也会关闭连接,ACL则用来定义要进行TCP拦截的源和目的地址。
(1)ip tcp intercept mode设置TCP拦截的工作模式,默认是intercept;
(1)ip tcp intercept list ACL编号调用ACL用来定义要进行TCP拦截的源和目的地址;
(1)当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值,默认关闭的是最早的连接,除非使用了ip tcp interceptdrop-mode random。
三、当所设置的门限值被超时时,路由器进行下面的动作
(1)每一个新的连接导致一个最早的(或随机的)连接被删除;
(2)初始的重传超时时间被减少一半,直到0.5秒;
(3)如果处于监视模式,则超时时间减半,直到15秒,
四、这是用来判断路由器是否正在遭受攻击,如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下
下面显示了有关的参数及其默认值,并对其加以简单描述
(1)ip tcp intercept max-incomplete high number 1100
在路由器开始删除连接之前,能够存在的half-open连接的最大数目;
(2)ip tcp inercept max-incomplete low number 900
在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目;
(3)ip tcp intercept one-minute high number 1100
在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目;
(4)ip tcp intercept one-minute low number 900
在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。
half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,TCP拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。
以上就是思科路由器非法TCP连接拦截的配置步骤,有着同样苦恼的网友们可以尝试设置解决问题。
本文来自于路由人网
篇2:思科路由器交换机单臂路由连接方式
本文主要从对交换机的配置,路由器的配置技术层面详细的向大家介绍了如何去配置单臂路由连接,下文还给出了PC机的网关配置,
CISCO路由器实现单臂路由的配置方法,连接如图,ROUTET的F1/0与SWITCH的F0/0相连,SWITCH的F0/1,F0/2,F0/3分别与PC1,PC2,PC3相连接,PC1分到VLAN10,PC2,PC3分到VLAN20。
思科路由器交换机:路由器的配置
注意的地方,在子接口先要先描术DOT1Q,再配IP地址,DOT1Q后面的数字是VLAN的号码,根据交换机的配置不同有所不同
Router>enable
Router#configureterminal
Router(config)#intf1/0
Router(config-if)#noshut
Router(config)#intf1/0.1
Router(config-subif)#encapsulationdot1q10//描术子接口的类型为dot1q
Router(config-subif)#ipadd192.168.1.254255.255.255.0
Router(config-subif)#exit
Router(config)#intf1/0.2
Router(config-subif)#encapsulationdot1q20//描术子接口的类型为dot1q
Router(config-subif)#ipadd192.168.2.254255.255.255.0
Router(config-subif)#exit
Router#copyrunstar
思科路由器交换机:交换机的配置
Switch>enable
Switch#vlandatabase
Switch(vlan)#vlan10
Switch(vlan)#vlan20
Switch(vlan)#exit
Switch#configureterminal
Switch(config)#intf0/0
Switch(config-if)#switchportmodetrunk//把接品设成trunk模式,
Switch(config)#intf0/1
Switch(config-if)#switchportaccessvlan10
Switch(config-if)#exit
Switch(config)#intf0/2
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#exit
Switch(config)#intf0/3
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#exit
思科路由器交换机:PC机的配置
◆PC1:IP地址:192.168.1.1子网掩码:255.255.255.0默认网关:192.168.1.254
◆PC2:IP地址:192.168.2.1子网掩码:255.255.255.0默认网关:192.168.2.254
◆PC3:IP地址:192.168.2.2子网掩码:255.255.255.0默认网关:192.168.2.254
篇3:巧用Nipper检查你的思科路由器安全
本文主要对于Nipper进行的介绍,给大家详细的讲述了如何利用Nipper加强思科路由器的安全性,那么我们该怎么使用呢?下面的文章讲给你详细解答。
如何使用Nipper?
由于Nipper支持如此众多的设备,还号称支持众多功能选项,因此我不可能面面俱到的来演示它们。但是我们可以做一个基本的示范。在我们的例子中,我们将使用Nipper来审核一个只具有默认设置的思科路由器。
在开始之前,我拿来一个思科2600系列路由器,清空配置,然后将其重启。下面我们就可以开始审核这个路由器的过程了。
首先,从著名的开源网站上下载Nipper,它目前有Windows版和Linux版。将其解压到你的本地计算机上,我们假定其位置为C:\\nipper。
接下来,获得一个文本版的这个路由器的配置文件。通过Telnet或SSH登录到路由器上,运行show running-configuration命令,并将显示的配置拷贝到一个记事本中,然后将其保存到前面所说的C:\\nipper这个文件夹下,
当然,你也可以使用一个TFTP服务器来将配置拷到你的本地计算机中。举个例子来说,我使用Tftpd32.exe这个工具可以非常快速而简单的完成这个操作。使用了命令copy running-configuration tftp。
一旦在你的计算机上有了这个运行配置后,进入Windows命令行窗口,然后进入到Nipper目录下。运行如下命令,如下图所示:
nipper --ios-router --input=testrouterconfig.txt --output=audit.html
图1、运行命令
输入完该命令会,没有提供任何信息,光标就立刻回到提示符前。不过,不用担心,它已经搞定了。
接下来,打开一个浏览器,然后在地址栏中输入:c:\\nipper\\audit.html。一个安全报告将展现在你的眼前。下图是一个截屏。
篇4:思科路由器安全功能对BT流量的控制
本文主要给大家讲述了如何通过具体操作实现对思科路由器的BT流量控制,并且详细的向大家介绍了具体的操作方法,希望此文对你有所帮助。
NBAR (Network-Based Application Recognition) 的意思是网络应用识别。 NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通 ACL 能做到那样控制静态的、简单的网络应用协议 TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80 ,也能做到控制一般 ACLs 不能做到动态的端口的那些协议,例如 VoIP 使用的 H.323, SIP 等。
BitTorrent(简称BT,俗称BT下载、变态下载)是一个多点下载的源码公开的P2P软件,使用非常方便,就像一个浏览器插件,很适合新发布的热 门下载。其特点简单的说就是:下载的人越多,速度越快。 BitTorrent 下载工具软件可以说是一个最新概念 P2P 的下载工具、它采用了多点对多点的原理。您可以访问 www.ppcn.net/ 来获取更多的信息。由于BT大量的使用,会造成网络带宽被尽情的消耗,导致一些企业和单位的关键业务不能正常运行, 所以有必要对BT流量进行一些必要的控制。
要实现对 BT 流量的控制,就要在思科路由器上实现对 PDLM 的支持。 PDLM 是 Packet Description Language Module 的所写,意思是数据包描述语言模块。它是一种对网络高层应用的协议层的描述,例如协议类型,服务端口号等。它的优势是让 NBAR 适应很多已有的网络应用,像 HTTP URL , DNS , FTP, VoIP 等 , 同时它还可以通过定义,来使 NBAR 支持许多新兴的网络应用。例如 peer2peer 工具。 PDLM 在思科的网站上可以下载,并且利用 PDLM 可以限制一些网络上的恶意流量。
要得到 PDLM ,要到 www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载 bittorrent.pdlm 。您需要有 CCO 的帐号,
也可以直接使用这个链接www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/ios/pdlm/bittorrent.pdlm&app=Tablebuild& status =
showC2A&swtype=FCS&software_products_url=%2Fcgi-bin%2Ftablebuild.pl% 2Fpdlm &isChild=
& appName=&tbtype=pdlm 得到支持 BT 的 PDLM 。
然后通过 TFTP 服务器将 bittorrent.pdlm 拷贝到路由中。利用
ip nbar pdlm bittorrent.pdlm
命令将 NBAR 中的 BT 功能启动。
再创建一个 class-map 和 policy map 并且把它应用到相应的路由器的接口上。一般是 连接 Internet (Chinanet ) 的接口是 FastEthernet 或 10M 的以太网接口。在路由器上您可以看见如下的配置 :
class-map match-all bittorrent
match protocol bittorrent
!
!
policy-map bittorrent-policy
class bittorrent
drop
!
interface FastEthernet0/
description neibujiekou
ip address 192.168.0.1 255.255.255.0
ip nat inside
service-policy input bittorrent-policy
service-policy output bittorrent-policy
!
这样您就可以在你的公司或单位的因特网接入路由器上实施一些流量控制。同时 NBAR 和 PDLM 还可以应用在您公司和单位的内联广域网上,可以保证广域网带宽的合理使用。
篇5:开启路由器的TCP拦截保护网络主机WEB安全
TCP拦截即TCP intercept,大多数的路由器平台都引用了该功能,其主要作用就是防止SYN泛洪攻击,SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
开启TCP拦截分为三个步骤:
1. 设置TCP拦截的工作模式
TCP拦截的工作模式分为拦截和监视。在拦截模式下,路由器审核所有的TCP连接,自身的负担加重,所以我们一般让路由器工作在监视模式,监视TCP连接的时间和数目,超出预定值则关闭连接。
格式:ip tcp intercept mode (intercept|watch)
缺省为intercept
2. 设置访问表,以开启需要保护的主机
格式:access-list [100-199] [deny|permit] tcp source source-wildcard
destination destination-wildcard
举例:要保护219.148.150.126这台主机
access-list 101 permit tcp any host 219.148.150.126
3. 开启TCP拦截
ip tcp intercept list access-list-number
示例:我们有两台服务器219.148.150.126和219.148.150.125需要进行保护,可以这样配置:
ip tcp intercept list 101
ip tcp intercept mode watch
........
ip access-list 101 permit tcp any host 219.148.150.125
ip access-list 101 permit tcp any host 219.148.150.126
经过这样的配置后,我们的主机就在一定程度上受到了保护,
篇6:通过路由器保护内网安全之九大步
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
通过路由器保护内网安全之九大步:关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个ICMP echo请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。 参考你的路由器信息文件,了解如何关闭IP直接广播。例如,Central(config)#no ip source-route这个指令将关闭思科路由器的IP直接广播地址。
通过路由器保护内网安全之九大步:如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。 虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
★ TCP技术
思科路由器安全之TCP连接(精选6篇)
