CISP网络与通信安全.pptVIP

Cisco路由交换安全配置 禁用交换机HTTP服务器 no ip http server 禁用CDP发掘协议 no cdp run 禁用交换机NTP服务器 no ntp enable 如果用了,需要验证 Ntp authenticate-key 10 md5 ntpkey Ntp server seattle key 10 禁用低端口简单服务 no service-udp-small-services no service-udp-small-services 禁用Finger服务 no service finger 以上措施可以降低路由器遭受应用层攻击的风险 第六十二页，共九十八页。 Cisco路由交换安全配置 禁用简单网络管理协议 no snmp-server enable 使用SNMPv3加强安全特性 snmp-server enable traps snmp auth md5 使用强的SNMPv1通讯关键字 snmp-server communityname 以上三者不可同时使用，如果必要使用SNMP 安全性123 第六十三页，共九十八页。 Cisco路由交换安全配置 认证与日志管理 logging 设置与不同的服务相关联 logging 的不同级别 使用AAA加强设备访问控制 AAA概念 日志管理 logging on logging server 第六十四页，共九十八页。 Cisco路由交换安全配置 禁用IP Unreachable报文 禁用ICMP Redirect报文 no ip redirect 禁用定向广播 no ip directed-broadcast 禁用ARP代理 no ip proxy-arp 使用IP验证 Ip verify unicast reverse-path 禁用IP源路由选项 no ip source-route 第六十五页，共九十八页。 Cisco路由交换安全配置 启用TCP截获特性防止DoS攻击 创建截获访问控制列表 起用TCP截获特性 设置门限制 设置丢弃模式 第六十六页，共九十八页。 Cisco路由交换安全配置 使用访问控制列表限制访问地址 使用访问控制列表限定访问端口 使用访问控制列表过滤特定类型数据包 使用访问控制列表限定数据流量 使用访问控制列表保护内部网络 第六十七页，共九十八页。 第五章 对网络威胁采取的策略 第六十八页，共九十八页。 拒绝服务攻击的防御策略 第六十九页，共九十八页。 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷.第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。 Syn Flood 解决办法 第七十页，共九十八页。 动态分析受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合 Syn Flood 其它办法 第七十一页，共九十八页。 Syn Flood 其它办法 负载均衡基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。 第七十二页，共九十八页。 检测DDoS攻击 根据异常情况分析 访问量突然剧增，经过sniffer分析，有大量的非正常的包，如没有正常的tcp三次握手，或者是三次握手后没有正常的关闭连接，或者大量的广播包，或者大量的icmp包，这说明极其有可能是遭受DDoS攻击。 外部访问突然变慢，或者访问不到，可是主机的访问量却不大，这很有可能是路由器的配置出现问题，询问一下是否有人对路由器等设备进行过操作，或者你的对等ISP的