- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络工程师交换试验手册附录4:网络路由器安全配置手册
网络工程师交换试验手册附录4:网络路由器安全配置手册安全威胁类型:网络命令、PING扫描、端口扫描(侦察??(非授权访问(资源过载型拒绝服务攻击(表一)(拒绝服务(DOS)(带外数据型拒绝服务攻击(表二)(其他拒绝服务攻击(分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占)(数据操纵?( IP欺骗(IP(?? ??? Spooling)会话重放和劫持(Hijacking)(重路由(Rerouting)(否认(Repudianton)((表一)类型 描述 防范措施Ping flood 向一台主机发送大量ICMP回声请求包 将边界路由器设置为拒绝响应ICMP回声请求包半开(half-open)syn攻击 向端口发起大量不完整TCP会话连接请求,导致宕机 使用TCP拦截,lock-and-key,IDC检测数据包风暴 发送大量的UDP包 使用cisco PIX上的syn flooding 保护功能(表二)类型 描述 防范措施过大的数据包(死亡ping) 修改ip包头中的长度大于实际包长,导致接收系统崩溃 过滤ICMP数据包重叠的数据包(winnuke.c) 对已建立的连接发送带外数据,导致目标重起或停止(典型的对NETBIOS,端口137) 如果不需要关闭NETBIOS分片(teardrop.c) 利用一些TCP/IP的IP分片组装代码实施中的漏洞,导致内存缓冲区溢出 在边界路由器上扔掉来自外部的被分片了的IP包IP源地址欺骗(land.c) 导致计算机产生对自身的TCP连接,陷入死循环 在路由器或主机上过滤掉虚假源地址IP包畸形包头(UDP炸弹) 制造一些包头中长度不正确的UDP包,导致一些主机出现内核混乱 根据CERT建议列表在主机上安装操作系统补丁保护管理接口的安全设置控制台(Console)口令:(router(config)#line??console? ?0router(config-line)#loginrouter(config-line)#password??cisco_psw1设置vty(Telnet)口令:(router(config)#line??vty??0??4router(config-line)#loginrouter(config-line)#password??cisco_psw2设置特权模式一般口令:(router(config)#enable??password??cisco_psw3设置特权模式秘密口令:(router(config)#enable??secret cisco_psw4”service?( ?password-encryption”命令:将口令以一种加密的方式存储在路由器的配置文件中,以致在“Show??config”中不可见。路由器限定具体的某台主机拥有”telnet”访问的权限:router(config)# access-list 21 permit router(config)#line vty 0 4router(config-line)#access-class 21 in管理员只能在上用Telnet访问路由器CISCO访问列表类型:标准访问列表:只允许过滤源地址,功能十分有限(access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机 access-list 1 permit( 55 log access-list 1 deny host (( access-list 1??permit any扩展访问列表:允许过滤源地址、目的地址、协议、端口、上层应用数据(access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options]access-list 101 pemit tcp any host( ??eq smtpaccess-list 101 pemit ip ??55 host( 标准或扩展列表定义好以后,必须用“ip access-group [list-number] [in|out]”应用到端口上标准的命
您可能关注的文档
最近下载
- 消毒供应室下收下送制度.docx VIP
- (高清版)C-H-T 2010-2011 海岛(礁)大地控制测量外业技术规程.pdf VIP
- 医生的个人年终工作总结PPT.pptx VIP
- HG-T 2876-2009 橡塑鞋微孔材料压缩变形试验方法.pdf VIP
- 广西基本医疗保险门诊特殊慢性病申报表.docx
- 消毒供应室下收下送培训.pptx VIP
- GBT 25000.51-2016自测报告模板.pdf VIP
- 《抢救工作制度》.ppt VIP
- 网吧消防应急预案.docx VIP
- GB∕T 35770-2022《 合规管理体系 要求及使用指南》之18:“8运行-8.4调查过程”解读和应用指导材料(雷泽佳编写2024B1).docx VIP
文档评论(0)