防止Cisco路由器被分布式拒绝服务攻击

古月一刀

到目前为止，进行DDoS 协议的漏洞，除非你不用TC 的比喻：DDoS就好象有1,00

攻击的防御还是比较困难的。首 P/IP，才有可能完全抵御住DDoS 0个人同时给你家里打电话，这

先，这种攻击的特点是它利用了TCP/IP 攻击。一位资深的安全专家给了个形象 时候你的朋友还打得进来吗？

不过即使它难于防范， 情。对Cisco路由器我们可 Unicast RPF （Unicast Re 置SYN数据包流量速率或通 范。具体的使用方法是：

也不是说我们就应该逆来顺受， 以首先在路由器上打开CEF功能 verse Path Forwarding），然 过升级版本过低的ISO、为路由

实际上防止DDoS并不是绝对不可行的事 （Cisco Express Forwarding）、使用 后利用访问控制列表（ACL）过滤并设 器建立log server等措施来建立安全防

1、使用 ip verfy unicast reverse-path 网络接口命令

这个功能检查每一个经 该数据包所到达网络接口的 据包。例如，路由器接收到 1.2.3.4提供任何路由（即

过路由器的数据包。在路由器的 所有路由项中，如果没有该数据 一个源IP地址为1.2.3.4的数据 反向数据包传输时所需的路由）

CEF（Cisco Express Forwarding）表 包源IP地址的路由，路由器将丢弃该数 包，如果 CEF路由表中没有为IP地址 ，则路由器会丢弃它。

单一地址反向传输路径转发（Unicast Re SMURF攻击和其它基于IP地址伪装的攻击。这 。使用Unicast RPF 需要打开路由器的" switching"选项。不需要将输入接口配 功能，所有独立的网络接口都可以配置为其它 属于在一个网络接口或子接口上激活的输入端

verse Path Forwarding）在ISP（局端）实现阻止 能够保护网络和客户免受来自互联网其它地方的侵扰 CEF swithing"或"CEF distributed 置为CEF交换（switching）。只要该路由器蚩?薈EF 交换（switching）模式。RPF（反向传输路径转发） 功能，处理路由器接收的数据包。

在路由器上打开CEF功能是非常重要的， Cisco IOS 12.0 及以上版本中，但不支持Cis

因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的 co IOS 11.2或11.3版本。

2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址

参考以下例子：

interface xy

ip access-group 101 in

access-list 101 deny

ip 10.0.0.0 0.255.255.255 a

ny

access-list 101 deny ip 192.168.0.0

0.0.255.255 any

access-list 101 deny

ip 172.16.0.0 0.15.255.255

any

access-list 101 permit ip any any

3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

参考以下例子：

{ISP中心} -- ISP端边

界路由器 -- 客户端边界路由器

-- {客户端网络}

ISP端边界路由器应该 址未被客户端网络过滤的通

只接受源地址属于客户端网络的 信。以下是ISP端边界路由器的

通信，而客户端网络则应该只接受源地 访问控制列表（ACL）例子：

access-list 190 permit ip {客户端网

络} {客户端网络掩码} any

access-list 190 deny ip any any [log]

interface {内部网络接口} {网络接口号}

ip access-group 190 in

以下是客户端边界路由器的ACL例子：

access-list 187 deny ip {客户端网络}

{客户端网络掩码} any

access-list 187 permit ip any any

access-list 188 perm

it ip {客户端网络} {客户端网

络掩码} any

access-list 188 deny ip any any

interface {外部网络接口} {网络接口号}

ip access-group 187 in

ip access-group 188 out

如果打开了CEF功能， 问控制列表（ACL）的长度 ；打开这个功能的网络接口

通过使用单一地址反向路径转发 以提高路由器性能。为了支持Un 并不需要是CEF交换接口。

（Unicast RPF），能够充分地缩短访 icast RPF，只需在路由器完全打开CEF

4、使用CAR（Control Access Rate）限制ICMP数据包流量速率

参考以下例子：

interface xy

rate-limit output access-group 2020

3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 per

mit icmp any any echo-reply

5、设置SYN数据包流量速率

interface {int}

rate-limit output ac

cess-group 153 45000000 1000

00 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1

000000 100000 100000 conform-action

transmit exceed-action drop

access-list 152 perm

it tcp any host eq www

access-list 153 permit tcp any host

eq www established

在实现应用中需要进行必要的修改，替换：

45000000为最大连接带宽

1000000为SYN flood流量速率的30%到50%之间的数值。

burst normal（正常突

变）和 burst max（最大突变）

两个速率为正确的数值。

注意，如果突变速率设 interfaces rate-limit&qu 速率。这个SYN速率限制数

置超过30%，可能会丢失许多合 ot;命令查看该网络接口的正常 值设置标准是保证正常通信的基

法的SYN数据包。使用"show 和过度速率，能够帮助确定合适的突变 础上尽可能地小。

警告：一般推荐在网络正常工作时测量SY 进行测量时确保网络的正常工作以避免出现较

N数据包流量速率，以此基准数值加以调整。必须在 大误差。

另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

6、搜集证据并联系网络安全部门或机构

如果可能，捕获攻击数 。常用的数据包捕获工具包

据包用于分析。建议使用SUN工 括TCPDump和snoop等。基本语法

作站或Linux等高速计算机捕获数据包 为：

tcpdump -i interface -s 1500 -w capt

ure_file

snoop -d interface -o capture_file -

s 1500

本例中假定MTU大小为1 日志作为证据提供给有关网

500。如果MTU大于1500，则需要 络安全部门或机构。

修改相应参数。将这些捕获的数据包和

为了防止利用IP Spoof 边缘路由设备（即直接与终

ing手段假冒源地址进行的DoS攻 端用户网络互连的路由设备）上

击对整个网络造成的冲击。主要配置在 ，根据用户网段规划添加源路由检查。

针对不同DDOS攻击的端口进行过滤，在实施时必须探测到DDOS攻击的端口。

! The TRINOO DDoS system

Router(Config)# access-list 113 deny

tcp any any eq 27665 log

Router(Config)# access-list 113 deny

udp any any eq 31335 log

Router(Config)# acce

ss-list 113 deny udp any any

eq 27444 log

! The Stacheldtraht DDoS system

Router(Config)# acce

ss-list 113 deny tcp any any

eq 16660 log

Router(Config)# acce

ss-list 113 deny tcp any any

eq 65000 log

! The TrinityV3 System

Router(Config)# acce

ss-list 113 deny tcp any any

eq 33270 log

Router(Config)# acce

ss-list 113 deny tcp any any

eq 39168 log

! The SubSeven DDoS system and some

Variants

Router(Config)# acce

ss-list 113 deny tcp any any

range 6711 6712 log

Router(Config)# acce

ss-list 113 deny tcp any any

eq 6776 log

Router(Config)# access-list 113 deny

tcp any any eq 6669 log

Router(Config)# acce

ss-list 113 deny tcp any any

eq 2222 log

Router(Config)# access-list 113 deny

tcp any any eq 7000 log

Router(Config)# interface eth 0/2

Router(Config-if)# ip access-group 113 in

DDOS是利用TCP协议的 源, 其次可以加个firewall 击的能力还是很弱的，尽管 上实行。遇到问题时一种快

漏洞, 目前没有什么有效的手段 。DDOS多是有目的的攻击, 是很 我们在路由器上采取了适当措施 速的手段, 就是利用2分法, 快

防护，笔者认为最有效的方法就是拼资 难防护的，基本上，路由器防范DoS攻 ，以上配置不建议在核心和汇聚层设备 速的查出它的来源地址, 然后封掉它。

因此，防止各种DoS攻 类型的DoS攻击的能力是不 用户需要根据自身情况和路

击是非常必要的。用户需要注意 同的，对路由器CPU和内存资源 由器的性能来选择使用适当的方

的是，以上介绍的几种方法，对付不同 的占用也有很大差别，在实际环境中， 式。