物聯網網絡層路由攻擊防護設計方法
1、更新路由器操作系統:路由器操作系統需要經常更新,以便糾正編程錯誤、軟件瑕痕和緩存溢出的問題。
2、修改默認的口令:據卡內基梅隆大學的計算機應急反應小組稱,80%的安全事件都是由于較弱或者默認的口令引起的。避免使用普通的口令,并且使用大小寫字母混合的方式作為更強大的口令規則。
3、禁用HTTP設置和SNMP(簡單網絡管理協議):路由器的HTTP設置對路由器來說是一個安全問題。如果路由器有一個命令行設置,禁用HTTP方式并且使用命令行設置方式。如果不使用路由器上的SNMP,就不需要啟用這個功能。
4、封鎖ICMP(互聯網控制消息協議)ping請求:ping和其他ICMP功能對于網絡管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網絡的信息。
5、禁用來自互聯網的telnet命令:在大多數情況下,不需要來自互聯網接口的主動的 telnet會話。如果從內部訪問路由器設置,則會更安全一些。
6、禁用IP定向廣播:IP定向廣播可能對設備實施拒絕服務攻擊。一臺路由器的內存和CPU難以承受太多的請求,這種結果會導致緩存溢出。
7、禁用IP路由和IP重新定向:重新定向允許數據包從一個接口進來然后從另一個接口出去。不需要把精心設計的數據包重新定向到專用的內部網路。
8、包過濾:包過濾僅傳遞被允許的數據包進入特定網絡,許多公司僅允許使用80端口(HTTP)110/25端口(電子郵件)。此外,可以封鎖和允許lP地址和范圍。
9、審查安全記錄:通過審查記錄文件,會看到明顯的攻擊方式,甚至安全漏洞。
10、禁用不必要的服務:路由器、服務器和工作站上的不必要的服務都要禁用。
物聯網網絡層的阻塞攻擊(即網絡層拒絕服務攻擊)防護設計方法
這種攻擊使用偽造地址的攻擊節點向目標主機發送大量攻擊數據包(如TCP包等),利用TCP的三次握手機制使目標服務器為維護一個非常大的半開放連接列表,從而消耗非常多的CPU和內存資源,最終因為堆棧溢出而導致系統崩潰無法為正常用戶提供服務。
在遭遇DDoS攻擊時,一些用戶會選擇直接丟棄數據包的過濾手段。通過改變數據流的傳送方向,將其丟棄在一個數據“黑洞”中,以阻止所有的數據流。這種方法的缺點是所有的數據流(不管是合法的還是非法的)都被丟棄,業務應用被中止。數據包過濾和速率限制等措施也會關閉所有應用,從而拒絕為合法用戶提供接入。
通過配置路由器過濾不必要的協議可以阻止簡單的ping攻擊以及無效的IP地址,但是通常不能有效地阻止更復雜的嗅探攻擊和使用有效IP地址發起的應用級攻擊。而防火墻可以阻擋與攻擊相關的特定數據流,不過與路由器一樣,防火墻不具備反嗅探功能,所以防范手段仍日是被動和不可靠的。目前常見的入侵檢測系統(IDS)能夠進行異常狀況檢測,但它不能自動配置,需要技術水平較高的安全專家進行手工調整,因此對新型攻擊的反應速度較慢。
探究各種防范措施對DDoS攻擊束手無策的原因可知,變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結所在。為了徹底打破這種被動局面,在網絡中配置整體聯動的安全體系,通過軟件與硬件技術結合、深入網絡終端的全局防范措施,以加強實施網絡安全管理的能力。
首先,在網絡中針對所有要求進行網絡訪問的行為進行統一的注冊,沒有經過注冊的網絡訪問行為將不被允許訪問網絡。通過安全策略平臺的幫助,管理員可以有效地了解整個網絡的運行情況,進而對網絡中存在的危及安全行為進行控制。在具體防范DDoS攻擊的過程中每一個在網絡中發生的訪問行為都會被系統檢測并判斷其合法性,一旦發覺這一行為存在安全威脅,系統將自動調用安全策略,采取直接阻止訪問、限制該終端訪問網絡區域(如避開網絡內的核心數據或關鍵服務區,以及限制訪問權限等)和限制該終端享用網絡帶寬速率的方式,將DDoS攻擊發作的危害降到最低。
在終端用戶的安全控制方面,對所有進入網絡的用戶系統安全性進行評估,杜絕網絡內終端用戶成為DDoS攻擊來源的威脅。從用戶終端接入網絡時,安全客戶端會自動檢測終端用戶的安全狀態。一旦檢測到用戶系統存在安全漏洞(未及時安裝補丁等),該用戶會從網絡正常區域中被隔離開,并自動置于系統修復區域內加以修復,直到完成系統規定的安全策略才能進入正常的網絡環境中。這樣一來,不僅可以杜絕網絡內部各個終端產生安全隱患的威脅,也可使網絡內各個終端用戶的訪問行為得到有效的控制。
贛公網安備 36011102000373號
售前咨詢