當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

http://www.yibo1263.com　2010/8/24 7:36:44 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　(2)過(guò)濾ICMP報(bào)文

　　惡性的ping是局域網(wǎng)病毒常常采用的攻擊方式。病毒隨機(jī)生成ping的目標(biāo)地址，然后通過(guò)路由器來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此在路由器中就需要為每個(gè)ping的ICMP報(bào)文創(chuàng)建一條NAT的對(duì)應(yīng)表。如果管理員在特權(quán)用戶模式下查看該表時(shí)，若是用戶看到大量的ICMP的NAT的session就應(yīng)該警惕地想到是否已經(jīng)中招(即遭到拒絕服務(wù)攻擊)。

　　如果病毒惡性的發(fā)動(dòng)ICMP的ping攻擊，在幾秒鐘內(nèi)發(fā)出上萬(wàn)個(gè)ping報(bào)文則會(huì)在NAT表中占用了大量的NAT的Session的連接。而UDP的NAT的SESSlON的存在時(shí)間為5秒，TCP連接的NAT的SESSION的保存時(shí)間為24小時(shí)，這種惡性的ping攻擊便可能將NAT的SESSION的值全部占用。造成的后果是，正常的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文由于路由器的全部的NAT的SESSlON都被占用得不到NAT的服務(wù)會(huì)造成無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。因此，我們可以采用訪問(wèn)列表的方式將ICMP的報(bào)文過(guò)濾掉，保證正常的網(wǎng)絡(luò)服務(wù)。我們可以通過(guò)下面命令屏蔽來(lái)自外部和內(nèi)部的ICMP包。

　　Router(Config)#access-list 110 deny icmp any any echo log

　　Router(Config)#access-list 110 deny icmp any any redirect log

　　Router(Config)#access-list 110 deny icmp any any mask-request log

　　Router(Config)#access-list 110 permit icmp any any

　　Router(Config)#access-list 111 permit icmp any any echo

　　Router(Config)#access-list 111 permit icmp any any Parameter-problem

　　Router(Config)#access-list 111 permit icmp any any packet-too-big

　　Router(Config)#access-list 111 permit icmp any any source-quench

　　Router(Config)#access-list 111 deny icmp any any log　　

　　局域網(wǎng)

　　(3)端口過(guò)濾

　　在路由器的出口和入口創(chuàng)建訪問(wèn)列表來(lái)控制病毒的出入，這些訪問(wèn)控制列表都是基于端口(比如135、136、445、4444等)的。通常情況下，管理員可通過(guò)察看數(shù)據(jù)包的數(shù)目，以調(diào)整他們的順序，將轉(zhuǎn)換多的包放在前面可以提高速度。

　　Router(Config)#Access-list 110 deny tcp any any eq 135

　　Router(Config)#Access-list 110 deny udp any any eq 135

　　Router(Config)#Access-list 110 deny tcp any any eq 136

　　Router(Config)#Access-list 110 deny udp any any eq 136

　　Router(Config)#Access-list 110 deny tcp any any eq 445

　　Router(Config)#Access-list 110 deny udp any any eq 445

　　Router(Config)#Access-list 110 deny tcp any any eq 4444

　　Router(Config)#Access-list 110 deny udp any any eq 4444

　　按照上述方式，將列表應(yīng)用到相應(yīng)的端口即可以了。

　　局域網(wǎng)

　　3.其他措施

　　(1)服務(wù)優(yōu)化

　　路由器開(kāi)啟的服務(wù)要盡量地少，依據(jù)需要只開(kāi)啟所需的服務(wù)，禁掉一些不必要的服務(wù)。這樣不僅節(jié)省內(nèi)存，另外最大的好處就是安全性的提高。如何保障路由器的簡(jiǎn)約的工作，防止內(nèi)存的消耗可以通過(guò)以下方法進(jìn)行：首先用戶可以關(guān)閉路由器的報(bào)文快速轉(zhuǎn)發(fā)機(jī)制，通過(guò)關(guān)閉接口的報(bào)文快速轉(zhuǎn)發(fā)機(jī)制，采用正常的報(bào)文轉(zhuǎn)發(fā)機(jī)制便會(huì)杜絕路由器由于快速轉(zhuǎn)發(fā)造成的內(nèi)存不足問(wèn)題。其次在內(nèi)存分配方面進(jìn)行優(yōu)化，關(guān)閉快速轉(zhuǎn)發(fā)最后用戶還應(yīng)該檢查是否已經(jīng)正確的配置靜態(tài)路由。

　　(2)路由安全

　　無(wú)論網(wǎng)絡(luò)管理人員多么辛苦地防范，但是堡壘往往會(huì)從內(nèi)部被攻破，若是路由器的物理安全得不到保障其他一切都是空談。另外，對(duì)于Cisco路由器來(lái)說(shuō)其IOS安全也是不容忽視的，要做好備份和升級(jí)。其次，路由日志安全也很重要，要做好備份策略。

　　總之，只要掌握病毒特點(diǎn)就可以利用cisco路由器的本身功能夠斬?cái)嗪谑�，在最大程度上將病毒拒之門外。當(dāng)然，這只是在缺少其它保護(hù)的前提下應(yīng)用的策略。為了保護(hù)網(wǎng)絡(luò)的安全，可采用多種安全產(chǎn)品，網(wǎng)管的責(zé)任心也是非常重要的因素。

本新聞共2頁(yè),當(dāng)前在第2頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·三大絕招立刻剿殺局域網(wǎng)頑固病毒

·防止局域網(wǎng)病毒屢殺不凈的三大絕招

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费