物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法
物聯(lián)網(wǎng)網(wǎng)絡(luò)層路由攻擊防護(hù)設(shè)計(jì)方法
本文引用地址:http://cafeforensic.com/article/202204/432733.htm1、更新路由器操作系統(tǒng):路由器操作系統(tǒng)需要經(jīng)常更新,以便糾正編程錯(cuò)誤、軟件瑕痕和緩存溢出的問題。
2、修改默認(rèn)的口令:據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱,80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令,并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。
3、禁用HTTP設(shè)置和SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議):路由器的HTTP設(shè)置對(duì)路由器來(lái)說(shuō)是一個(gè)安全問題。如果路由器有一個(gè)命令行設(shè)置,禁用HTTP方式并且使用命令行設(shè)置方式。如果不使用路由器上的SNMP,就不需要啟用這個(gè)功能。
4、封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請(qǐng)求:ping和其他ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來(lái)攻擊網(wǎng)絡(luò)的信息。
5、禁用來(lái)自互聯(lián)網(wǎng)的telnet命令:在大多數(shù)情況下,不需要來(lái)自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。如果從內(nèi)部訪問路由器設(shè)置,則會(huì)更安全一些。
6、禁用IP定向廣播:IP定向廣播可能對(duì)設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺(tái)路由器的內(nèi)存和CPU難以承受太多的請(qǐng)求,這種結(jié)果會(huì)導(dǎo)致緩存溢出。
7、禁用IP路由和IP重新定向:重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來(lái)然后從另一個(gè)接口出去。不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。
8、包過(guò)濾:包過(guò)濾僅傳遞被允許的數(shù)據(jù)包進(jìn)入特定網(wǎng)絡(luò),許多公司僅允許使用80端口(HTTP)110/25端口(電子郵件)。此外,可以封鎖和允許lP地址和范圍。
9、審查安全記錄:通過(guò)審查記錄文件,會(huì)看到明顯的攻擊方式,甚至安全漏洞。
10、禁用不必要的服務(wù):路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。
物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊(即網(wǎng)絡(luò)層拒絕服務(wù)攻擊)防護(hù)設(shè)計(jì)方法
這種攻擊使用偽造地址的攻擊節(jié)點(diǎn)向目標(biāo)主機(jī)發(fā)送大量攻擊數(shù)據(jù)包(如TCP包等),利用TCP的三次握手機(jī)制使目標(biāo)服務(wù)器為維護(hù)一個(gè)非常大的半開放連接列表,從而消耗非常多的CPU和內(nèi)存資源,最終因?yàn)槎褩R绯龆鴮?dǎo)致系統(tǒng)崩潰無(wú)法為正常用戶提供服務(wù)。
物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法
典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中,網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊中,TCP或HTTP資源無(wú)法被用來(lái)處理交易或請(qǐng)求。發(fā)動(dòng)攻擊時(shí),入侵者只需運(yùn)行一個(gè)簡(jiǎn)單的命令,一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上,讓這些攻擊點(diǎn)一齊發(fā)送攻擊包,即向目標(biāo)傳送大量的無(wú)用數(shù)據(jù)包,從而使占滿攻擊目標(biāo)的網(wǎng)絡(luò)帶寬,耗盡路由器處理能力。由于DDoS通常利用Internet的開放性和從任意源地址向任意目標(biāo)地址提交數(shù)據(jù)包,因此人們很難區(qū)分非法的數(shù)據(jù)包與合法的數(shù)據(jù)包。
在遭遇DDoS攻擊時(shí),一些用戶會(huì)選擇直接丟棄數(shù)據(jù)包的過(guò)濾手段。通過(guò)改變數(shù)據(jù)流的傳送方向,將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中,以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流(不管是合法的還是非法的)都被丟棄,業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過(guò)濾和速率限制等措施也會(huì)關(guān)閉所有應(yīng)用,從而拒絕為合法用戶提供接入。
通過(guò)配置路由器過(guò)濾不必要的協(xié)議可以阻止簡(jiǎn)單的ping攻擊以及無(wú)效的IP地址,但是通常不能有效地阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級(jí)攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流,不過(guò)與路由器一樣,防火墻不具備反嗅探功能,所以防范手段仍日是被動(dòng)和不可靠的。目前常見的入侵檢測(cè)系統(tǒng)(IDS)能夠進(jìn)行異常狀況檢測(cè),但它不能自動(dòng)配置,需要技術(shù)水平較高的安全專家進(jìn)行手工調(diào)整,因此對(duì)新型攻擊的反應(yīng)速度較慢。
探究各種防范措施對(duì)DDoS攻擊束手無(wú)策的原因可知,變幻莫測(cè)的攻擊來(lái)源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動(dòng)局面,在網(wǎng)絡(luò)中配置整體聯(lián)動(dòng)的安全體系,通過(guò)軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施,以加強(qiáng)實(shí)施網(wǎng)絡(luò)安全管理的能力。
首先,在網(wǎng)絡(luò)中針對(duì)所有要求進(jìn)行網(wǎng)絡(luò)訪問的行為進(jìn)行統(tǒng)一的注冊(cè),沒有經(jīng)過(guò)注冊(cè)的網(wǎng)絡(luò)訪問行為將不被允許訪問網(wǎng)絡(luò)。通過(guò)安全策略平臺(tái)的幫助,管理員可以有效地了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況,進(jìn)而對(duì)網(wǎng)絡(luò)中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過(guò)程中每一個(gè)在網(wǎng)絡(luò)中發(fā)生的訪問行為都會(huì)被系統(tǒng)檢測(cè)并判斷其合法性,一旦發(fā)覺這一行為存在安全威脅,系統(tǒng)將自動(dòng)調(diào)用安全策略,采取直接阻止訪問、限制該終端訪問網(wǎng)絡(luò)區(qū)域(如避開網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū),以及限制訪問權(quán)限等)和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式,將DDoS攻擊發(fā)作的危害降到最低。
在終端用戶的安全控制方面,對(duì)所有進(jìn)入網(wǎng)絡(luò)的用戶系統(tǒng)安全性進(jìn)行評(píng)估,杜絕網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來(lái)源的威脅。從用戶終端接入網(wǎng)絡(luò)時(shí),安全客戶端會(huì)自動(dòng)檢測(cè)終端用戶的安全狀態(tài)。一旦檢測(cè)到用戶系統(tǒng)存在安全漏洞(未及時(shí)安裝補(bǔ)丁等),該用戶會(huì)從網(wǎng)絡(luò)正常區(qū)域中被隔離開,并自動(dòng)置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù),直到完成系統(tǒng)規(guī)定的安全策略才能進(jìn)入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來(lái),不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅,也可使網(wǎng)絡(luò)內(nèi)各個(gè)終端用戶的訪問行為得到有效的控制。
評(píng)論