物聯(lián)網(wǎng)網(wǎng)絡(luò )層的阻塞攻擊和路由攻擊防護設計方法

物聯(lián)網(wǎng)網(wǎng)絡(luò )層路由攻擊防護設計方法

　　1、更新路由器操作系統：路由器操作系統需要經(jīng)常更新，以便糾正編程錯誤、軟件瑕痕和緩存溢出的問(wèn)題。

　　2、修改默認的口令：據卡內基梅隆大學(xué)的計算機應急反應小組稱(chēng)，80%的安全事件都是由于較弱或者默認的口令引起的。避免使用普通的口令，并且使用大小寫(xiě)字母混合的方式作為更強大的口令規則。

　　3、禁用HTTP設置和SNMP（簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議）：路由器的HTTP設置對路由器來(lái)說(shuō)是一個(gè)安全問(wèn)題。如果路由器有一個(gè)命令行設置，禁用HTTP方式并且使用命令行設置方式。如果不使用路由器上的SNMP，就不需要啟用這個(gè)功能。

　　4、封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請求：ping和其他ICMP功能對于網(wǎng)絡(luò )管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來(lái)攻擊網(wǎng)絡(luò )的信息。

　　5、禁用來(lái)自互聯(lián)網(wǎng)的telnet命令：在大多數情況下，不需要來(lái)自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì )話(huà)。如果從內部訪(fǎng)問(wèn)路由器設置，則會(huì )更安全一些。

　　6、禁用IP定向廣播：IP定向廣播可能對設備實(shí)施拒絕服務(wù)攻擊。一臺路由器的內存和CPU難以承受太多的請求，這種結果會(huì )導致緩存溢出。

　　7、禁用IP路由和IP重新定向：重新定向允許數據包從一個(gè)接口進(jìn)來(lái)然后從另一個(gè)接口出去。不需要把精心設計的數據包重新定向到專(zhuān)用的內部網(wǎng)路。

　　8、包過(guò)濾：包過(guò)濾僅傳遞被允許的數據包進(jìn)入特定網(wǎng)絡(luò )，許多公司僅允許使用80端口（HTTP）110/25端口（電子郵件）。此外，可以封鎖和允許lP地址和范圍。

　　9、審查安全記錄：通過(guò)審查記錄文件，會(huì )看到明顯的攻擊方式，甚至安全漏洞。

　　10、禁用不必要的服務(wù)：路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。

　　物聯(lián)網(wǎng)網(wǎng)絡(luò )層的阻塞攻擊（即網(wǎng)絡(luò )層拒絕服務(wù)攻擊）防護設計方法

　　這種攻擊使用偽造地址的攻擊節點(diǎn)向目標主機發(fā)送大量攻擊數據包（如TCP包等），利用TCP的三次握手機制使目標服務(wù)器為維護一個(gè)非常大的半開(kāi)放連接列表，從而消耗非常多的CPU和內存資源，最終因為堆棧溢出而導致系統崩潰無(wú)法為正常用戶(hù)提供服務(wù)。

物聯(lián)網(wǎng)網(wǎng)絡(luò )層的阻塞攻擊和路由攻擊防護設計方法

　　典型的DDoS攻擊包括帶寬攻擊和應用攻擊。在帶寬攻擊中，網(wǎng)絡(luò )資源或網(wǎng)絡(luò )設備被高流量數據包所消耗。在應用攻擊中，TCP或HTTP資源無(wú)法被用來(lái)處理交易或請求。發(fā)動(dòng)攻擊時(shí)，入侵者只需運行一個(gè)簡(jiǎn)單的命令，一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上，讓這些攻擊點(diǎn)一齊發(fā)送攻擊包，即向目標傳送大量的無(wú)用數據包，從而使占滿(mǎn)攻擊目標的網(wǎng)絡(luò )帶寬，耗盡路由器處理能力。由于DDoS通常利用Internet的開(kāi)放性和從任意源地址向任意目標地址提交數據包，因此人們很難區分非法的數據包與合法的數據包。

　　在遭遇DDoS攻擊時(shí)，一些用戶(hù)會(huì )選擇直接丟棄數據包的過(guò)濾手段。通過(guò)改變數據流的傳送方向，將其丟棄在一個(gè)數據“黑洞”中，以阻止所有的數據流。這種方法的缺點(diǎn)是所有的數據流（不管是合法的還是非法的）都被丟棄，業(yè)務(wù)應用被中止。數據包過(guò)濾和速率限制等措施也會(huì )關(guān)閉所有應用，從而拒絕為合法用戶(hù)提供接入。

　　通過(guò)配置路由器過(guò)濾不必要的協(xié)議可以阻止簡(jiǎn)單的ping攻擊以及無(wú)效的IP地址，但是通常不能有效地阻止更復雜的嗅探攻擊和使用有效IP地址發(fā)起的應用級攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數據流，不過(guò)與路由器一樣，防火墻不具備反嗅探功能，所以防范手段仍日是被動(dòng)和不可靠的。目前常見(jiàn)的入侵檢測系統（IDS）能夠進(jìn)行異常狀況檢測，但它不能自動(dòng)配置，需要技術(shù)水平較高的安全專(zhuān)家進(jìn)行手工調整，因此對新型攻擊的反應速度較慢。

　　探究各種防范措施對DDoS攻擊束手無(wú)策的原因可知，變幻莫測的攻擊來(lái)源和層出不窮的攻擊手段是癥結所在。為了徹底打破這種被動(dòng)局面，在網(wǎng)絡(luò )中配置整體聯(lián)動(dòng)的安全體系，通過(guò)軟件與硬件技術(shù)結合、深入網(wǎng)絡(luò )終端的全局防范措施，以加強實(shí)施網(wǎng)絡(luò )安全管理的能力。

　　首先，在網(wǎng)絡(luò )中針對所有要求進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)的行為進(jìn)行統一的注冊，沒(méi)有經(jīng)過(guò)注冊的網(wǎng)絡(luò )訪(fǎng)問(wèn)行為將不被允許訪(fǎng)問(wèn)網(wǎng)絡(luò )。通過(guò)安全策略平臺的幫助，管理員可以有效地了解整個(gè)網(wǎng)絡(luò )的運行情況，進(jìn)而對網(wǎng)絡(luò )中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過(guò)程中每一個(gè)在網(wǎng)絡(luò )中發(fā)生的訪(fǎng)問(wèn)行為都會(huì )被系統檢測并判斷其合法性，一旦發(fā)覺(jué)這一行為存在安全威脅，系統將自動(dòng)調用安全策略，采取直接阻止訪(fǎng)問(wèn)、限制該終端訪(fǎng)問(wèn)網(wǎng)絡(luò )區域（如避開(kāi)網(wǎng)絡(luò )內的核心數據或關(guān)鍵服務(wù)區，以及限制訪(fǎng)問(wèn)權限等）和限制該終端享用網(wǎng)絡(luò )帶寬速率的方式，將DDoS攻擊發(fā)作的危害降到最低。

　　在終端用戶(hù)的安全控制方面，對所有進(jìn)入網(wǎng)絡(luò )的用戶(hù)系統安全性進(jìn)行評估，杜絕網(wǎng)絡(luò )內終端用戶(hù)成為DDoS攻擊來(lái)源的威脅。從用戶(hù)終端接入網(wǎng)絡(luò )時(shí)，安全客戶(hù)端會(huì )自動(dòng)檢測終端用戶(hù)的安全狀態(tài)。一旦檢測到用戶(hù)系統存在安全漏洞（未及時(shí)安裝補丁等），該用戶(hù)會(huì )從網(wǎng)絡(luò )正常區域中被隔離開(kāi)，并自動(dòng)置于系統修復區域內加以修復，直到完成系統規定的安全策略才能進(jìn)入正常的網(wǎng)絡(luò )環(huán)境中。這樣一來(lái)，不僅可以杜絕網(wǎng)絡(luò )內部各個(gè)終端產(chǎn)生安全隱患的威脅，也可使網(wǎng)絡(luò )內各個(gè)終端用戶(hù)的訪(fǎng)問(wèn)行為得到有效的控制。