如何防止路由器遭受字典攻擊

　　你可能還沒(méi)有認(rèn)識(shí)到使用針對(duì)Telnet、SSH或者HTTP端口的字典式拒絕服務(wù)的(DoS)攻擊可能成功的攻擊你的Cisco路由器。事實(shí)上，我敢打賭，即便是大多數(shù)網(wǎng)絡(luò)管理員沒(méi)有全部打開(kāi)這些端口，那么他至少也會(huì)打開(kāi)其中一個(gè)端口用于路由器的管理。

　　針對(duì)路由器的DoS字典攻擊可以讓攻擊者取得Cisco路由器的訪(fǎng)問(wèn)權(quán) 或者可能導(dǎo)致用戶(hù)無(wú)法使用路由器。在本文中，你可以找到如何使用Cisco 網(wǎng)絡(luò)操作系統(tǒng)的增強(qiáng)登陸功能來(lái)防止這種攻擊。

　　當(dāng)然，在公網(wǎng)中開(kāi)放這些端口要比在私網(wǎng)中開(kāi)放這些端口危險(xiǎn)的多。但是，無(wú)論是對(duì)公網(wǎng)開(kāi)放還是對(duì)私網(wǎng)開(kāi)放這些端口，你都需要保護(hù)你的路由器防止它們受到字典DoS攻擊，通過(guò)這種攻擊，攻擊者可能獲得路由器的訪(fǎng)問(wèn)權(quán)或者在你的網(wǎng)絡(luò)中創(chuàng)建一個(gè)簡(jiǎn)單的服務(wù)出口。

　　不過(guò)由于在網(wǎng)絡(luò)操作系統(tǒng) 12.3(4)T以及以后的版本中都有了增強(qiáng)的登陸功能，因此你可以為你的路由器提供額外的保護(hù)。這些新的增強(qiáng)的登陸功能提供以下各個(gè)方面的優(yōu)勢(shì)：

　　在發(fā)現(xiàn)連續(xù)登陸嘗試后，創(chuàng)建一個(gè)登陸延遲。

　　如果出現(xiàn)太多的登陸嘗試失敗的話(huà)，將不再允許登陸。

　　在系統(tǒng)日志中創(chuàng)建相應(yīng)的登陸信息或者發(fā)送SNMP陷阱來(lái)警告和記錄有關(guān)失敗和不允許登陸的額外信息。

　　如何知道你的路由器中是否包含這些代碼?最簡(jiǎn)單的查找方法是到"全局配置模式(Global Configuration Mode)并且輸入"login(登陸)""，這個(gè)命令將返回一個(gè)選擇列表，具體顯示如下：

　　block-for--用于設(shè)置安靜模式活動(dòng)時(shí)間周期。

　　delay--用于設(shè)置連續(xù)失敗登陸的時(shí)間間隔。

　　on-failure--用于設(shè)置試圖登陸失敗后的選項(xiàng)。

　　on-sucess--用于設(shè)置試圖登陸成功后的選項(xiàng)。

　　quiet-mode--用于設(shè)置安靜模式的選項(xiàng)。

　　如果你的路由器中的網(wǎng)絡(luò)操作系統(tǒng)中沒(méi)有這個(gè)代碼，它將返回一個(gè)"無(wú)法識(shí)別的命令"錯(cuò)誤。

　　如果你的路由器中沒(méi)有這個(gè)功能，那么使用Cisco 網(wǎng)絡(luò)操作系統(tǒng)的特征導(dǎo)航來(lái)為你的路由器找到這個(gè)功能(參照Cisco 網(wǎng)絡(luò)操作系統(tǒng)增強(qiáng)登陸功能)你還可以使用這個(gè)工具來(lái)查找你所需要的其他功能。記住，下載網(wǎng)絡(luò)操作系統(tǒng)代碼和訪(fǎng)問(wèn)特征導(dǎo)航工具需要Cisco的維護(hù)合同。

　　用于配置這些功能的最基本的基表的命令是login block-for命令，這也是唯一的命令。一旦你激活了這個(gè)命令，其缺省的登陸延遲時(shí)間是一秒。在你指定的時(shí)間內(nèi)，如果試圖登陸的最大次數(shù)超過(guò)你所給定的次數(shù)的話(huà)，系統(tǒng)將拒絕所有的登陸嘗試。

　　在全局配置模式下，執(zhí)行下面的命令：

　　login block-for (在多長(zhǎng)時(shí)間內(nèi)拒絕所有的登陸嘗試)

　　attempts (如果登陸的次數(shù)超過(guò)此數(shù))within (在多少秒以?xún)?nèi))

　　下面給出一個(gè)例子

　　login block-for 120 attempts 5 within 60

　　該命令對(duì)系統(tǒng)進(jìn)行如下配置：如果在60秒以?xún)?nèi)有五次登陸失敗的話(huà)，路由器系統(tǒng)將在120秒以?xún)?nèi)拒絕所有的登陸。如果此時(shí)你輸入show login的話(huà)，你將接收到以下輸出信息：

　　缺省情況下登陸延遲時(shí)間是一秒鐘。

　　沒(méi)有配置安靜模式訪(fǎng)問(wèn)列表。

　　路由器激活了登陸攻擊監(jiān)控程序。

　　如果在60秒左右的時(shí)間內(nèi)有五次登陸失敗的話(huà)，

　　系統(tǒng)將禁用登陸操作120秒。

　　路由器目前處于正常模式。

　　目前的監(jiān)控窗口還有54秒鐘。

　　目前的登陸失敗次數(shù)為0。

　　這些信息顯示了你的設(shè)置，包括缺省的登陸延遲時(shí)間為一秒鐘，以及其他的附加信息。它還告訴你目前路由器處于正常模式，這意味著路由器目前還允許你登陸。

　　如果路由器認(rèn)為有人對(duì)其進(jìn)行攻擊，它將進(jìn)入安靜模式，并且開(kāi)始拒絕所有的登陸操作。你還可以配置一個(gè)ACL，在其中說(shuō)明這個(gè)路由器對(duì)哪些主機(jī)和網(wǎng)絡(luò)例外，無(wú)論是處于安靜模式還是處于其他狀態(tài)，都允許這些主機(jī)和網(wǎng)絡(luò)登陸路由器。

　　下面是這些命令中用于配置系統(tǒng)的一些選項(xiàng)：

　　登陸延遲(數(shù)字)： 在失效登陸后增加延遲的秒數(shù)。你可以選擇1到10之間的任何數(shù)字。

　　登陸失敗和登陸成功：這些選項(xiàng)允許你選擇在登陸成功或者失敗時(shí)使用的日志和SNMP警告的類(lèi)型。

　　登陸安靜模式訪(fǎng)問(wèn)類(lèi)(ACL數(shù)字)：增加ACL數(shù)字，使用這個(gè)選項(xiàng)可以增加一個(gè)隔絕列表，無(wú)論路由器處于安靜模式還是處于正常模式，這個(gè)列表中的主機(jī)和網(wǎng)絡(luò)都可以登陸路由器。

　　通常情況下，為了安全，我建議在所有的路由器上都激活login block-for選項(xiàng)。這些新功能將可以幫助你更好的保證路由器的安全。

　　如果你正好從事這方面的工作，并且你還沒(méi)有做好準(zhǔn)備的話(huà)，那么可以考慮只在路由器上使用SSH并且只允許從內(nèi)網(wǎng)訪(fǎng)問(wèn)。SSH加密所有從PC到路由器的通信信息(包括用戶(hù)名和密碼)。

　　要想得到這些新特征的全部命令的參考信息，請(qǐng)登陸到Cisco IOS Login Enhancements Documentation 。