|
|
|
|
|
|
|
|
3. 防御TCP SYN:管理员可以在入口路由器上创建访问控制列表,只允许来自外网的已设定SYN标记、目标是公司内部IP地址的TCP包进入公司网络。或者,管理员可以使用TCP 截取(Intercept)功能,TCP截取本来是一些防火墙的专有功能,现在已经被移植到路由器中。
4. 防御Smurf攻击:Smurf攻击向目标网络发起大量广播包,导致网络带宽被占满。管理员可以在路由器上禁止转发直接广播包,绝大部分路由器都具有该功能。
5. 过滤ICMP包:针对攻击者一般首先使用Ping或者Traceroute来选择攻目标、发动攻击的特点,管理员可以在路由器上过滤掉来自外部网络的带有Echo、Redirect标记的ICMP包,丢弃攻击者发起的网络试探数据流,而不影响内部机器对外部网络的Ping和Traceroute。
路由表的安全
路由器是根据路由表来转发接收到的数据包,路由表是通过路由协议计算得出的,可以分为静态路由协议和动态路由协议两种。静态路由是管理员根据需要手工添加到路由表中,优点是可靠、安全,不容易出错,缺点是必须手工逐条地配置路由,适合小型网络的管理员选用。动态路由协议(例如RIP、OSPF和BGP)是根据邻接路由器的路由更新消息来创建路由表,优点是动态生成路由、自动优选路由等,缺页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
