物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法

物聯(lián)網(wǎng)網(wǎng)絡(luò)層路由攻擊防護(hù)設(shè)計(jì)方法

　　1、更新路由器操作系統(tǒng)：路由器操作系統(tǒng)需要經(jīng)常更新，以便糾正編程錯(cuò)誤、軟件瑕痕和緩存溢出的問題。

　　2、修改默認(rèn)的口令：據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。

　　3、禁用HTTP設(shè)置和SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）：路由器的HTTP設(shè)置對路由器來說是一個(gè)安全問題。如果路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用命令行設(shè)置方式。如果不使用路由器上的SNMP，就不需要啟用這個(gè)功能。

　　4、封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請求：ping和其他ICMP功能對于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網(wǎng)絡(luò)的信息。

　　5、禁用來自互聯(lián)網(wǎng)的telnet命令：在大多數(shù)情況下，不需要來自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。如果從內(nèi)部訪問路由器設(shè)置，則會(huì)更安全一些。

　　6、禁用IP定向廣播：IP定向廣播可能對設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺(tái)路由器的內(nèi)存和CPU難以承受太多的請求，這種結(jié)果會(huì)導(dǎo)致緩存溢出。

　　7、禁用IP路由和IP重新定向：重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來然后從另一個(gè)接口出去。不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

　　8、包過濾：包過濾僅傳遞被允許的數(shù)據(jù)包進(jìn)入特定網(wǎng)絡(luò)，許多公司僅允許使用80端口（HTTP）110/25端口（電子郵件）。此外，可以封鎖和允許lP地址和范圍。

　　9、審查安全記錄：通過審查記錄文件，會(huì)看到明顯的攻擊方式，甚至安全漏洞。

　　10、禁用不必要的服務(wù)：路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。

　　物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊（即網(wǎng)絡(luò)層拒絕服務(wù)攻擊）防護(hù)設(shè)計(jì)方法

　　這種攻擊使用偽造地址的攻擊節(jié)點(diǎn)向目標(biāo)主機(jī)發(fā)送大量攻擊數(shù)據(jù)包（如TCP包等），利用TCP的三次握手機(jī)制使目標(biāo)服務(wù)器為維護(hù)一個(gè)非常大的半開放連接列表，從而消耗非常多的CPU和內(nèi)存資源，最終因?yàn)槎褩Ｒ绯龆鴮?dǎo)致系統(tǒng)崩潰無法為正常用戶提供服務(wù)。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護(hù)設(shè)計(jì)方法

　　典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中，網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊中，TCP或HTTP資源無法被用來處理交易或請求。發(fā)動(dòng)攻擊時(shí)，入侵者只需運(yùn)行一個(gè)簡單的命令，一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上，讓這些攻擊點(diǎn)一齊發(fā)送攻擊包，即向目標(biāo)傳送大量的無用數(shù)據(jù)包，從而使占滿攻擊目標(biāo)的網(wǎng)絡(luò)帶寬，耗盡路由器處理能力。由于DDoS通常利用Internet的開放性和從任意源地址向任意目標(biāo)地址提交數(shù)據(jù)包，因此人們很難區(qū)分非法的數(shù)據(jù)包與合法的數(shù)據(jù)包。

　　在遭遇DDoS攻擊時(shí)，一些用戶會(huì)選擇直接丟棄數(shù)據(jù)包的過濾手段。通過改變數(shù)據(jù)流的傳送方向，將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中，以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流（不管是合法的還是非法的）都被丟棄，業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過濾和速率限制等措施也會(huì)關(guān)閉所有應(yīng)用，從而拒絕為合法用戶提供接入。

　　通過配置路由器過濾不必要的協(xié)議可以阻止簡單的ping攻擊以及無效的IP地址，但是通常不能有效地阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流，不過與路由器一樣，防火墻不具備反嗅探功能，所以防范手段仍日是被動(dòng)和不可靠的。目前常見的入侵檢測系統(tǒng)（IDS）能夠進(jìn)行異常狀況檢測，但它不能自動(dòng)配置，需要技術(shù)水平較高的安全專家進(jìn)行手工調(diào)整，因此對新型攻擊的反應(yīng)速度較慢。

　　探究各種防范措施對DDoS攻擊束手無策的原因可知，變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動(dòng)局面，在網(wǎng)絡(luò)中配置整體聯(lián)動(dòng)的安全體系，通過軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施，以加強(qiáng)實(shí)施網(wǎng)絡(luò)安全管理的能力。

　　首先，在網(wǎng)絡(luò)中針對所有要求進(jìn)行網(wǎng)絡(luò)訪問的行為進(jìn)行統(tǒng)一的注冊，沒有經(jīng)過注冊的網(wǎng)絡(luò)訪問行為將不被允許訪問網(wǎng)絡(luò)。通過安全策略平臺(tái)的幫助，管理員可以有效地了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，進(jìn)而對網(wǎng)絡(luò)中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過程中每一個(gè)在網(wǎng)絡(luò)中發(fā)生的訪問行為都會(huì)被系統(tǒng)檢測并判斷其合法性，一旦發(fā)覺這一行為存在安全威脅，系統(tǒng)將自動(dòng)調(diào)用安全策略，采取直接阻止訪問、限制該終端訪問網(wǎng)絡(luò)區(qū)域（如避開網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū)，以及限制訪問權(quán)限等）和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式，將DDoS攻擊發(fā)作的危害降到最低。

　　在終端用戶的安全控制方面，對所有進(jìn)入網(wǎng)絡(luò)的用戶系統(tǒng)安全性進(jìn)行評估，杜絕網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來源的威脅。從用戶終端接入網(wǎng)絡(luò)時(shí)，安全客戶端會(huì)自動(dòng)檢測終端用戶的安全狀態(tài)。一旦檢測到用戶系統(tǒng)存在安全漏洞（未及時(shí)安裝補(bǔ)丁等），該用戶會(huì)從網(wǎng)絡(luò)正常區(qū)域中被隔離開，并自動(dòng)置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù)，直到完成系統(tǒng)規(guī)定的安全策略才能進(jìn)入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來，不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅，也可使網(wǎng)絡(luò)內(nèi)各個(gè)終端用戶的訪問行為得到有效的控制。