物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法
物聯(lián)網(wǎng)網(wǎng)絡(luò)層路由攻擊防護(hù)設(shè)計(jì)方法
本文引用地址:http://www.ex-cimer.com/article/202204/432733.htm1、更新路由器操作系統(tǒng):路由器操作系統(tǒng)需要經(jīng)常更新,以便糾正編程錯(cuò)誤、軟件瑕痕和緩存溢出的問題。
2、修改默認(rèn)的口令:據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱,80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令,并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。
3、禁用HTTP設(shè)置和SNMP(簡單網(wǎng)絡(luò)管理協(xié)議):路由器的HTTP設(shè)置對路由器來說是一個(gè)安全問題。如果路由器有一個(gè)命令行設(shè)置,禁用HTTP方式并且使用命令行設(shè)置方式。如果不使用路由器上的SNMP,就不需要啟用這個(gè)功能。
4、封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請求:ping和其他ICMP功能對于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網(wǎng)絡(luò)的信息。
5、禁用來自互聯(lián)網(wǎng)的telnet命令:在大多數(shù)情況下,不需要來自互聯(lián)網(wǎng)接口的主動的telnet會話。如果從內(nèi)部訪問路由器設(shè)置,則會更安全一些。
6、禁用IP定向廣播:IP定向廣播可能對設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺路由器的內(nèi)存和CPU難以承受太多的請求,這種結(jié)果會導(dǎo)致緩存溢出。
7、禁用IP路由和IP重新定向:重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來然后從另一個(gè)接口出去。不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。
8、包過濾:包過濾僅傳遞被允許的數(shù)據(jù)包進(jìn)入特定網(wǎng)絡(luò),許多公司僅允許使用80端口(HTTP)110/25端口(電子郵件)。此外,可以封鎖和允許lP地址和范圍。
9、審查安全記錄:通過審查記錄文件,會看到明顯的攻擊方式,甚至安全漏洞。
10、禁用不必要的服務(wù):路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。
物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊(即網(wǎng)絡(luò)層拒絕服務(wù)攻擊)防護(hù)設(shè)計(jì)方法
這種攻擊使用偽造地址的攻擊節(jié)點(diǎn)向目標(biāo)主機(jī)發(fā)送大量攻擊數(shù)據(jù)包(如TCP包等),利用TCP的三次握手機(jī)制使目標(biāo)服務(wù)器為維護(hù)一個(gè)非常大的半開放連接列表,從而消耗非常多的CPU和內(nèi)存資源,最終因?yàn)槎褩R绯龆鴮?dǎo)致系統(tǒng)崩潰無法為正常用戶提供服務(wù)。
物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法
典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中,網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊中,TCP或HTTP資源無法被用來處理交易或請求。發(fā)動攻擊時(shí),入侵者只需運(yùn)行一個(gè)簡單的命令,一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上,讓這些攻擊點(diǎn)一齊發(fā)送攻擊包,即向目標(biāo)傳送大量的無用數(shù)據(jù)包,從而使占滿攻擊目標(biāo)的網(wǎng)絡(luò)帶寬,耗盡路由器處理能力。由于DDoS通常利用Internet的開放性和從任意源地址向任意目標(biāo)地址提交數(shù)據(jù)包,因此人們很難區(qū)分非法的數(shù)據(jù)包與合法的數(shù)據(jù)包。
在遭遇DDoS攻擊時(shí),一些用戶會選擇直接丟棄數(shù)據(jù)包的過濾手段。通過改變數(shù)據(jù)流的傳送方向,將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中,以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流(不管是合法的還是非法的)都被丟棄,業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過濾和速率限制等措施也會關(guān)閉所有應(yīng)用,從而拒絕為合法用戶提供接入。
通過配置路由器過濾不必要的協(xié)議可以阻止簡單的ping攻擊以及無效的IP地址,但是通常不能有效地阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流,不過與路由器一樣,防火墻不具備反嗅探功能,所以防范手段仍日是被動和不可靠的。目前常見的入侵檢測系統(tǒng)(IDS)能夠進(jìn)行異常狀況檢測,但它不能自動配置,需要技術(shù)水平較高的安全專家進(jìn)行手工調(diào)整,因此對新型攻擊的反應(yīng)速度較慢。
探究各種防范措施對DDoS攻擊束手無策的原因可知,變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動局面,在網(wǎng)絡(luò)中配置整體聯(lián)動的安全體系,通過軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施,以加強(qiáng)實(shí)施網(wǎng)絡(luò)安全管理的能力。
首先,在網(wǎng)絡(luò)中針對所有要求進(jìn)行網(wǎng)絡(luò)訪問的行為進(jìn)行統(tǒng)一的注冊,沒有經(jīng)過注冊的網(wǎng)絡(luò)訪問行為將不被允許訪問網(wǎng)絡(luò)。通過安全策略平臺的幫助,管理員可以有效地了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況,進(jìn)而對網(wǎng)絡(luò)中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過程中每一個(gè)在網(wǎng)絡(luò)中發(fā)生的訪問行為都會被系統(tǒng)檢測并判斷其合法性,一旦發(fā)覺這一行為存在安全威脅,系統(tǒng)將自動調(diào)用安全策略,采取直接阻止訪問、限制該終端訪問網(wǎng)絡(luò)區(qū)域(如避開網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū),以及限制訪問權(quán)限等)和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式,將DDoS攻擊發(fā)作的危害降到最低。
在終端用戶的安全控制方面,對所有進(jìn)入網(wǎng)絡(luò)的用戶系統(tǒng)安全性進(jìn)行評估,杜絕網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來源的威脅。從用戶終端接入網(wǎng)絡(luò)時(shí),安全客戶端會自動檢測終端用戶的安全狀態(tài)。一旦檢測到用戶系統(tǒng)存在安全漏洞(未及時(shí)安裝補(bǔ)丁等),該用戶會從網(wǎng)絡(luò)正常區(qū)域中被隔離開,并自動置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù),直到完成系統(tǒng)規(guī)定的安全策略才能進(jìn)入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來,不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅,也可使網(wǎng)絡(luò)內(nèi)各個(gè)終端用戶的訪問行為得到有效的控制。
評論