3.关闭广域网上一些不必要的服务 在Cisco路由器上,有很多服务广域网上根本不必要,但是仍然默认开启,反而造成了安全漏洞,给黑客以可乘之机。所以建议予以手工关闭。 例如:利用访问控制列表(acl)只开启实际使用的tcp、udp端口。同时,执行no service tcp-small-servers, no service udp-small-servers。这些tcp、udp协议上小服务,平时不常使用,但是这些端口轻易被人利用,所以应该关闭。 No ip finger,finger协议主要在unix下使用,类似于Cisco IOS中的show user,假如开启轻易被黑客看到连接用户,进一步猜测弱密码,进行合法登陆。假如需要防范密码猜测的风险,在路由器上就应该首先把这个服务关闭。 在拨号线路上,一般都采用transport input none,关闭诸如telnet、rlogin等易受攻击的后台程序。
4.No ip direct-broadcast Ping of death攻击据说最早源于俄罗斯,就是通过许多用户同时对同一目的进行ping,造成flood攻击的效果。但是在实战上效果并不明显。因为在flood的同时,攻击方也必须付出同样的资源。因此,有人对这种攻击手段进行了优化。攻击的目的端从某一特定的ip地址,转换成了类如192.10.6.255这样一个网段广播地址。使这个网段内所有的机器都对这样的请求做出应答,从而达到事半功倍的效果。 对应手段为:在路由器广域网接口no ip direct-broadcast,这样除了隔离255.255.255.255的全广播以外,对于类似192.10.6.255网段广播地址也予以隔离,可以大大减少了被flood攻击的风险,也能减少主干线路上不必要的流量。或者,在完成网络上的连通性测试(ping测试)之后,利用访问控制列表,关闭ICMP协议中的echo和echo reply。
