Cisco路由器上如何防止DDoS
【简介】感谢网友“janwang”参与投稿,下面小编为大家整理了Cisco路由器上如何防止DDoS(共9篇),欢迎阅读与借鉴!
篇1:Cisco路由器上如何防止DDoS
1、使用ipverfyunicastreverse-path网络接口命令
这个功能检查每一个经过路由器的数据包,在路由器的CEF(CiscoEXPressForwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(UnicastReversePathForwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用UnicastRPF需要打开路由器的“CEFswithing”或“CEFdistributedswitching”选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。UnicastRPF包含在支持CEF的CiscoIOS12.0及以上版本中,但不支持CiscoIOS11.2或11.3版本。
2、使用访问控制列表(ACL)过滤RFC1918中列出的所有地址
参考以下例子:interfacexyipAccess-group101inaccess-list101denyip10.0.0.00.255.255.255anyaccess-list101denyip192.168.0.00.0.255.255anyaccess-list101denyip172.16.0.00.15.255.255anyaccess-list101permitipanyany
3、参照RFC2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:{ISP中心}--ISP端边界路由器--客户端边界路由器--{客户端网络}ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:access-list190permitip{客户端网络}{客户端网络掩码}anyaccess-list190denyipanyany[log]interface{内部网络接口}{网络接口号}ipaccess-group190in以下是客户端边界路由器的ACL例子:access-list187denyip{客户端网络}{客户端网络掩码}anyaccess-list187permitipanyanyaccess-list188permitip{客户端网络}{客户端网络掩码}anyaccess-list188denyipanyanyinterface{外部网络接口}{网络接口号}ipaccess-group187inipaccess-group188out如果打开了CEF功能,通过使用单一地址反向路径转发(UnicastRPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能,
为了支持UnicastRPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
4、使用CAR(ControlAccessRate)限制ICMP数据包流量速率
参考以下例子:interfacexyrate-limitoutputaccess-group300000051786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-reply请参阅IOSEssentialFeatures获取更详细资料。
5、设置SYN数据包流量速率
interface{int}rate-limitoutputaccess-group15345000000100000100000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group1521000000100000100000conform-actiontransmitexceed-actiondropaccess-list152permittcpanyhosteqwwwaccess-list153permittcpanyhosteqwwwestablished在实现应用中需要进行必要的修改,替换:45000000为最大连接带宽1000000为SYNflood流量速率的30%到50%之间的数值。burstnormal(正常突变)和burstmax(最大突变)两个速率为正确的数值。注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用“showinterfacesrate-limit”命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。另外,建议考虑在可能成为SYN攻击的主机上安装IPFilter等IP过滤工具包。
6、搜集证据并联系网络安全部门或机构
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:tcpdump-iinterface-s1500-wcapture_filesnoop-dinterface-ocapture_file-s1500本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。
更多的技术资料,请参阅以下文档:CharacterizingandTracingPacketFloodsUsingCiscoRoutersImprovingSecurityonCiscoRouters
篇2:Cisco路由器如何防止DDoS攻击
这个功能检查每一个经过路由器的数据包,在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF 需要打开路由器的CEF swithing或CEF distributed switching选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中,但不支持Cisco IOS 11.2或11.3版本,
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
参考以下例子:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:
{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
篇3:重新初始Cisco无线路由器上受到的DDoS攻击疑问
关于Cisco无线路由器的问题,下面将介绍到“使用网络接口命令”,“使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址”等知识,以及如何防止DDOS的攻击,
1、使用 ip verfy unicast reverse-path 网络接口命令
这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
2、在Cisco无线路由器使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
参考以下例子:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:
-- ISP端边界路由器 -- 客户端边界路由器 --
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip any
access-list 190 deny ip any any [log]
interface
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip any
access-list 187 permit ip any any
access-list 188 permit ip any
access-list 188 deny ip any any
interface
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能,
为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
4、使用CAR(Control Access Rate)限制ICMP数据包流量速率
参考以下例子:
interface xy
rate-limit output access-group 3000000 51 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
请参阅IOS Essential Features 获取更详细资料。
5、Cisco无线路由器中设置SYN数据包流量速率
interface
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改, 替换:
45000000为最大连接带宽
1000000为SYN flood流量速率的30%到50%之间的数值。
burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用“show interfaces rate-limit”命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。 另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。
6、使用Cisco无线路由器搜集证据并联系网络安全部门或机构
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。
篇4:如何发现Cisco路由器
占据着70%市场份额的Cisco路由器有类毛病,比如IOSLOGON,和HISTORY bug,使得用户可以轻易地远程识别Cisco的路由器产品,
如何发现Cisco路由器
,
其所利用的端口是: tcp-id-port 1999/tcp cisco identification port tcp-id-port 1999/udp cisco identification port 一般地,运行I
篇5:Cisco路由器上配置pppoe拨号
Router#show run
Building configuration...
Current configuration : 1115 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname Router
!
no logging on
enable secret 5 $1$oyeO$b.DP73YbQiLqnqSUV/WmX1
!
ip subnet-zero
!
!
!
vpdn enable
!
vpdn-group 1
request-dialin-----request-dialin是做client用
protocol pppoe
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer1
mtu 1492
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname tttt
ppp chap password 0 123456
ppp pap sent-username tttt password 0 123456
!
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
!
no logging trap
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
篇6:cisco 2800路由器密码恢复
前提,思科路由 和 电脑的超级终端连接好,
开启路由,按 ctrl+break键
进入如下界面
当然可以选择yes 进行用户名和密码的重新创建
篇7:Cisco路由器常见问题详解
目前思科路由器的用户非常多,这里我们主要分析了Cisco路由器常见问题的解决方法,在这里拿出来和大家分享一下,希望对大家有用,
Cisco路由器常见问题1、问题:Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S?
回答:Cisco3600系列路由器在1XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。但是需要注意的是:只有快速以太网混合网络模块能够支持这两种广域网接口卡。支持这两种接口卡的网络模块如下所示:NM-1FE2W,NM-2FE2W,NM-1FE1R2W,NM-2W。而以太网混合网络模块不支持,如下所示:NM-1E2W,NM-2E2W,NM1E1R2W。
Cisco路由器常见问题2、问题:cisco3600系列路由器的NM-4A/S,NM-8A/S网络模块和WIC-2A/S广域网接口卡支持的最大异/同步速率各是多少?
回答:这些网络模块和广域网接口卡既能够支持异步,也能够支持同步。支持的最大异步速率均为1152Kbps,最大同步速率均为128Kbps。
Cisco路由器常见问题3、问题:IC-2T与WIC-1T的电缆各是哪种?
回答:WIC-1T:DB60转V35或RS232、449等电缆。如:CAB-V35-MT。WIC-2T:SMART型转V35或RS232、449等电缆。如:CAB-SS-V35-MT。
Cisco路由器常见问题4、问题:isco7000系列上的ME1与Cisco2600/3600上的E1、CE1有什么区别?
回答:Cisco7000上的ME1可配置为E1、CE1,而Cisco2600/3600上的E1、CE1仅支持自己的功能。
Cisco路由器常见问题5、问题:cisco2600系列路由器,是否支持VLAN间路由,对IOS软件有何需求?
回答:Cisco2600系列路由器中,只有Cisco2620和Cisco2621可以支持VLAN间的路由(百兆端口才支持VLAN间路由),
并且如果支持VLAN间路由,要求IOS软件必须包括IPPlus特性集。
Cisco路由器常见问题6、问题:Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
回答:不同点如下:Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口;而Cisco3620/3640基本配置中不包括以太网接口。Cisco3660路由器支持网络模块热插拔,而Cisco3620/3640不支持网络模块热插拔。 Cisco3660的冗余电源为内置,而Cisco3620/3640的冗余电源为外置的。
Cisco路由器常见问题7、问题:Cisco1720是否支持语音?
回答:不支持。
Cisco路由器常见问题8、问题:Cisco805和其他Cisco800系列路由器的区别?
回答:Cisco805是一个串行口的路由器,它能够为小型办公室提供因特网的接入(可以通过专线、X25、FrameRelay或者异步拨号)。而其他800系列产品则提供的是ISDN的接口,用于因特网的接入。
Cisco路由器常见问题9、问题:Cisco800系列路由器与Cisco1600系列比较起来,支持的特性有何不同?
回答:Cisco800系列路由器不支持,但是Cisco1600系列路由器能够支持的功能如下所示:OpenShortestPathFirst(OSPF)协议,HotStandbyRouterProtocol(HSRP)协议,TACAS+协议,RADIUS协议,AppleTalk协议,DLSW协议,IBM功能。
Cisco路由器常见问题10、问题:Cisco800系列路由器和700系列路由器有何区别?
回答:区别如下:Cisco800系列路由器集成了CiscoIOS功能,而Cisco700系列不支持。与Cisco700系列比较起来,Cisco800提供了更高性能的处理器,更多的内存等。Cisco800可以用于小型的办公室环境,但是Cisco700系列主要用于家庭使用。
篇8:Cisco路由器使用疑问
[分析]: 以太网上的服务器未设网关,当报文从路由器转发给服务器后,服务器从报文中判别源地址不是本网地址,按协议规则应对报文应发给网关,但由于未设网关地址招致服务器不能照应做出回答,所以远程终端处因收不到报文而惹起超时错误,加设网关后服务器可顺利回发应对报文完成ping的协议流程。
[疑问] 两台2501专线连通后,相互ping对端时丢报严重
[处理]:可在两端相应衔接专线的串口上翻转时钟,配置命令为 invert transmit-clock
[分析]: 丢报严重能够是线路上的时钟错位招致线路两端路由器收和发不能同步惹起,在接口上将时钟翻转 invert transmit-clock后相当于使时钟改动半个周期而使时钟对准。时钟不准并不是丢报严重的独一原由,假设改动时钟后仍不能处理疑问,且确认配置无误,则须要检验线路能不能正常。
[疑问] 配置x.25地址映射时,提示地址映射反复。
[处理]:运用命令 no x25 map ip 删除以前的地址映射,再重新配置新的地址映射。
[分析]:在X.25地址映射中,一个ip地址只好对应一个x121地址,当一个IP地址配置成两个不一样的x121地址时,将惹起抵触。
[疑问] 用户用QUIDWAY路由器衔接时广域网口的PPP协议不通,判别疑问所在。
[处理]:PPP协议属ISO二层协议,所以判别疑问所在要从第一层起判别,用show in s N (N为所用串口)检查底层DTR,DSR,RTS,CTS,DCD信号能不能都UP, 如不是,标明DTE与DCE间物理线路没连好,查一下衔接电缆疑问,当串口提示UP且无错帧时,标明物理层正常。如物理层没疑问,则用show in s N命令查一下LCP,IPCP能不能OPEN如LCP OPEN而IPCP INITIAL,标明PPP验证没议决,查一下PPP验证的疑问。
[分析]:PPP协议不通普通集中在物理层有疑问或是验证出错,物理层的形态可从show in s N命令中的查询信息中得到,物理层正常时串口应是UP,还应观察能不能有许多错帧,假设错帧许多也标明物理层有疑问,虽然串口提示是UP。物理层的疑问扫除后,假设还不通须要检验验证能不能正确,以PAP为例。
验证方配置:
config# user 169 passWord 0 169
config-if-serial0# ppp authentication pap
被验证方配置:
config-if-serial0# ppp pap send-username 169 password 169
验证中留意用户名和口令一致。
[疑问] 华为2501路由器和 CISCO 的路由器ppp对接不通
[分析]: CISCO 路由器的默许协议是 HDLC,而华为的路由器默许协议为 PPP,用户运用华为路由器的时分,由于和CISCO的路由器类似,容易误以为 CISCO 也是PPP协议而没有改动CISCO的配置,当在2501 上用show in s N(N为串口号,0或1)命令时,会觉察串口 up,链路协议 down,
将CISCO 端协议改为PPP即可。
[处理]:在CISCO端的协议封装改为PPP
命令:enc ppp 且将华为2501的广域网口地址设为和CISCO的广域网口地址同一网段。
[疑问]近来,有用户提出用QUIDWAY4001作接入服务器的要求,确实,对一个企业或公司来说,用QUIDWAY4001的PRI口做30路用户的接入,确实是一个不错的挑选。下面是一个配置实例。
[分析]: 依据用户需求,QUIDWAY4001的 CE1/PRI口 走PRI30B+D信令可以接入30路用户.
[处理]: 配置如下:
sh run
Now create configuration...
Current configuration
!
user aa password 0 123
user bb password 0 321
dialer-list 1 protocol ip permit
ip local pool 1 192.168.1.1 192.168.1.31
snmp-server traps enable
hostname Quidway4001
!
controller e 0
pri-group timeslot 1-31
!
interface Ethernet0
ip address 100.10.10.1 255.255.0.0
!
interface Serial0
enable
encapsulation ppp
!
interface Serial1
flowcontrol normal
encapsulation ppp
!
interface Serial2:15
encapsulation ppp
ppp authentication pap
peer default ip address pool 1
ip address 192.168.1.254 255.255.0.0
dialer in-band
dialer-group 1
!
router rip
!
end
篇9:思科路由器上配置Cisco IOS防火墙
本文主要给大家介绍了如何进行思科路由器上的IOS防火墙配置,我们在配置的时候要注意什么呢?下面文章将给出详细的解答,
在R1 、 R2 、 R3上的预配置
r1(config)#int e0/0
r1(config-if)#ip add 172.16.1.1 255.255.255.0
r1(config-if)#no sh
r1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2配置静态路由
r1(config)#^Z
r2(config)#int e0/0
r2(config-if)#ip add 172.16.1.2 255.255.255.0
r2(config-if)#no sh
r2(config-if)#int e2/0
r2(config-if)#ip add 192.168.1.2 255.255.255.0
r2(config-if)#no sh
r3(config)#int e2/0
r3(config-if)#ip add 192.168.1.3 255.255.255.0
r3(config-if)#no sh
r3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 配置静态路由
r3(config)#^Z
r3(config)#li vty 0 4
r3(config-line)#pass
r3(config-line)#password cisco
r3(config-line)#exit