微信公众号：计算机与网络安全

▼

1、SYN和ICMP拒绝服务攻击抑制和根除

（1）SYN（UDP）-FLOOD拒绝服务攻击抑制及根除

Syn-Flood拒绝服务攻击抑制

Syn-Flood 攻击一般都为恶意的攻击，攻击目标可能是服务器，也可能是网段。以下是在运行CISCO IOS软件的边界路由器上，通过访问列表进行抑制、TCP截获进行抑制的方法内容。

1）通过访问列表进行抑制方法

定义访问控制列表号为 106 的 ACL，允许其他任意 IP 地址的 TCP 数据分组达到192.168.0.0网段的机器，其余没有在这条件内的数据全部丢弃，从而使网络中只有在定义范围内容的数据分组，避免多余数据分组占用了路由器的负载。然后把所定义好的 ACL 绑定到做要syn-flood抑制端口上（如例子中的外接设备端口eth0/2）。

Router（Config）# no access-list 106

Router（Config）# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established

Router（Config）# access-list 106 deny ip any any log

Router（Config）# interface eth 0/2

Router（Config-if）# description “external Ethernet”

Router（Config-if）# ip address 192.168.1.254 255.255.255.0

Router（Config-if）# ip access-group 106 in

2）通过TCP截获进行抑制方法（此方式会占用路由器一定负载）

TCP截取特性通过截取和验证TCP连接请求的合法性来防止Syn-Flood攻击。在定义截取107列表中，只允许TCP数据从任意地址到达192.168.0.0网络的机器，以及禁止所有符合范围内的所有数据分组。最后把列表绑定到网络接口eth0上。

Router（Config）# ip tcp intercept list 107

Router（Config）# access-list 107 permit tcp any 192.168.0.0 0.0.0.255

Router（Config）# access-list 107 deny ip any any log

Router（Config）# interface eth0

Router（Config）# ip access-group 107 in

Syn-Flood拒绝服务攻击根除

对于SYN（UDP）-FLOOD攻击，没有根本的解决方法，只能抑制其攻击效果。

（2） ICMP-FLOOD拒绝服务攻击抑制及根除

ICMP-Flood拒绝服务攻击抑制

以下是禁止ICMP协议中类、限制ICMP数据分组流量速率方法内容。

1）方法1

对于进入ICMP数据分组，禁止ICMP协议当中的ECHO、Redirect、Maskrequest。对于流出的ICMP数据分组，允许不中ECHO、ParameterProblem、Packettoobig。

! outbound ICMP Control

Router（Config）# access-list 110 deny icmp any any echo log

Router（Config）# access-list 110 deny icmp any any redirect log

Router（Config）# access-list 110 deny icmp any any mask-request log

Router（Config）# access-list 110 permit icmp any any

! Inbound ICMP Control

Router（Config）# access-list 111 permit icmp any any echo

Router（Config）# access-list 111 permit icmp any any Parameter-problem

Router（Config）# access-list 111 permit icmp any any packet-too-big

Router（Config）# access-list 111 permit icmp any any source-quench

Router（Config）# access-list 111 deny icmp any any log

2）方法2

使用CAR（ControlAccessRate）限制ICMP数据分组流量速率。

例子：interface s1/1

rate-limit output access-group 2020 128000 8000 9000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply

通过对 ICMP 数据分组的流量限制，达到对 ICMP-FLOOD 控制。命令中提及的有限制带宽为128 000 bit/s，对于一个连接普通突发速率8 000 B/s（即64 000 bit/s），最大突发9 000 B/（s 即72 000 bit/s）如在这个范围内，进行的操作是transmi（t 传输），如果超出（Exceed-action），进行的操作是drop（丢弃），最主要参数是128 000 bit/s，限制带宽，后2个数值是限制每个连接的突发带宽，保证不会导致整个链路性能下降很多。

ICMP-Flood拒绝服务攻击根除

对于ICMP-FLOOD拒绝服务攻击的根除，可以在边界路由上禁止ICMP。

2、系统漏洞拒绝服务抑制

（1）WIN系统漏洞拒绝服务攻击抑制及根除

Windows系统漏洞拒绝服务攻击抑制

下面给出如何在Windows环境下修改注册表，抑制DoS攻击。

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

同时打开的TCP连接数，这里可以根据情况进行控制。"TcpNumConnections"=该参数控制TCP报头表的大小限制。在有大量RAM的机器上，增加该设置可以提高SYN攻击期间的响应性能。

"TcpMaxSendFree"=

Windows系统漏洞拒绝服务攻击根除

对于Windows操作系统方面的拒绝服务漏洞，只需把相关补丁打上就可以根除该种攻击了。

（2）UNIX系统漏洞拒绝服务攻击抑制及根除

Unix系统漏洞拒绝服务攻击抑制

关闭不必要的系统服务，在/etc/inetd.conf中注释掉所有不必要的服务。

堆栈缓冲溢出攻击防护设置

在/etc/system里加上如下语句，禁止缓冲溢出：

echo "set noexec_user_stack=1" >> /etc/system

echo "set noexec_user_stack_log=1" >> /etc/system

Unix系统漏洞拒绝服务攻击根除

对于Unix操作系统方面的拒绝服务漏洞，只需把相关补丁打上就可以根除该种攻击了。

（3）网络设备IOS系统漏洞拒绝服务攻击抑制

Cisco IOS IPv4报文处理拒绝服务攻击漏洞

1）详细描述

Cisco IOS是一种网络操作系统，它运用于大多数的Cisco网络设备中，发现IOS 12.3以下版本中存在一个拒绝服务攻击漏洞，该漏洞影响所有运行了 IOS 12.3 以下版本并且处理IPv4报文的Cisco设备。Cisco路由器缺省配置为允许接收和处理IPv4报文，当按照一个特殊顺序往路由器某接口上发送 IPv4 的报文时，会导致路由器错误地将该接口的输入队列标识为已满状态，这样该接口会停止接收处理一切数据分组，包括路由协议报文和 ARP 报文。不同于以往的DoS攻击，这个攻击不会触发任何警报，路由器也不会自动重载，必须手动重启路由器才能恢复正常功能。如果攻击者重复对路由器所有的端口进行攻击，将导致整个路由器瘫痪。

2）解决方案

可以按照CISCO的建议升级IOS。或者采用下面临时解决办法。

在路由器上通过访问控制列表（ACL）过滤协议为53，55，77的流量。

定义 ACL

access-list 101 deny　 53 any any

access-list 101 deny　 55 any any

access-list 101 deny　 77 any any

access-list 101 permit ip any any

然后在所有的接口上使用上述ACL

interface eth 0

ip access-group 101 in

▲
- The end -

网络安全资料列表

原文始发于微信公众号（计算机与网络安全）：网络安全应急响应：拒绝服务类攻击抑制