Cómo utilizar enrutadores para evitar locos ataques de denegación de servicio
Los ataques DoS se dividen principalmente en tres tipos: Smurf, SYNFlood y Fraggle. En un ataque Smurf, los atacantes utilizan el Protocolo de mensajes de control de Internet para bloquear servidores y otros recursos de la red. El ataque SYNFlood utiliza una gran cantidad de medias conexiones TCP para ocupar recursos de la red; el ataque Fraggle es similar en principio al ataque Smurf, utilizando solicitudes UDPecho en lugar de solicitudes ICPecho para lanzar el ataque.
Aunque los expertos en seguridad de redes están trabajando arduamente para desarrollar equipos que prevengan los ataques DoS, los resultados no son muy buenos porque los ataques DoS explotan las debilidades del propio protocolo TCP. Configurar correctamente su enrutador puede prevenir eficazmente los ataques DoS. Tomemos como ejemplo un enrutador Cisco. El software IOS de los enrutadores Cisco tiene muchas funciones para prevenir ataques DoS y proteger la seguridad del enrutador y de la red interna.
Uso de listas de acceso extendido
Las listas de acceso extendido son una herramienta eficaz para prevenir ataques de denegación de servicio. Se puede utilizar para detectar tipos de ataques de denegación de servicio y prevenir ataques de denegación de servicio. El comando showi access-list puede mostrar paquetes coincidentes para cada lista de acceso extendida. Los usuarios pueden determinar el tipo de ataque DoS según el tipo de paquete. Si hay una gran cantidad de solicitudes para establecer conexiones TCP en la red, significa que la red está bajo un ataque SYNFlood. En este momento, el usuario puede cambiar la configuración de la lista de acceso para evitar ataques DoS.
Uso de QoS
Utilizando funciones de QoS como colas justas ponderadas (WFQ), tasa de acceso comprometida (CAR), configuración de tráfico genérico (GTS) y colas personalizadas (CQ), puede Prevenga eficazmente los ataques DoS. Cabe señalar que diferentes políticas de QoS tienen diferentes impactos en diferentes ataques DoS. Por ejemplo, WFQ es más efectivo contra ataques PingFlood que contra ataques SYNFlood porque PingFlood generalmente aparece en una cola de transmisión separada en WFQ, mientras que cada paquete en un ataque SYNFlood aparece en un flujo de datos separado. Además, se puede usar CAR para limitar la velocidad del tráfico del Protocolo de mensajes de control de Internet para prevenir ataques Smurf, y también se puede usar CAR para limitar la velocidad del tráfico de paquetes SYN para prevenir ataques SYNFlood. El uso de QoS para prevenir ataques DoS requiere que los usuarios comprendan los principios de QoS y los ataques DoS para que puedan tomar las medidas preventivas correspondientes contra diferentes tipos de ataques DoS.
Reenvío inverso usando una sola dirección
El reenvío inverso (RPF) es una característica de entrada del enrutador que inspecciona cada paquete recibido por la interfaz del enrutador. Si el enrutador recibe un paquete de datos con la dirección IP de origen 10.10.10.1, pero la tabla de enrutamiento CEF (CiscoExpressForwarding) no proporciona ninguna información de enrutamiento para esta dirección IP, el enrutador descartará el paquete de datos, por lo que el reenvío inverso puede evitar ataques Smurf. y otros ataques basados en ataques de suplantación de direcciones IP.
Para utilizar la función RPF, el enrutador debe estar configurado en el modo de conmutación CEF. La interfaz con la función RPF habilitada no se puede configurar para la conmutación CEF. RPF es mejor que las listas de acceso para prevenir la suplantación de direcciones IP. Primero, puede aceptar dinámicamente cambios en tablas de enrutamiento dinámicas y estáticas. En segundo lugar, RPF requiere menos operación y mantenimiento; tercero, como herramienta antifraude, RPF tiene mucho menos impacto en el rendimiento del enrutador que el uso de listas de acceso.
Utilice la interceptación de TCP
Después de IOS11.3, Cisco lanzó la función de interceptación de TCP, que puede evitar eficazmente que SYNFood ataque los hosts internos.
La interceptación TCP previene este ataque interceptando y validando la solicitud de conexión TCP antes de que llegue al host de destino. La interceptación de TCP puede funcionar en modos de interceptación y monitoreo. En el modo de interceptación, el enrutador intercepta las solicitudes de sincronización TCP entrantes y establece una conexión con el cliente en nombre del servidor. Si la conexión es exitosa, establece una conexión con el servidor en nombre del cliente y fusiona las dos conexiones de forma transparente. El enrutador sigue interceptando y enviando paquetes durante toda la conexión.
Para solicitudes de conexión ilegales, el enrutador proporciona límites de tiempo de espera más estrictos para la mitad abierta para evitar que sus propios recursos se agoten por ataques SYN. En modo monitor, el enrutador observa pasivamente las solicitudes de conexión que fluyen a través del enrutador y cierra la conexión si excede el tiempo de establecimiento configurado.
Hay dos pasos para habilitar la interceptación de TCP en un enrutador Cisco: primero, configurar la lista de acceso extendida y determinar las direcciones IP que deben protegerse; en segundo lugar, habilitar la interceptación de TCP. El propósito de configurar listas de acceso es definir las direcciones de origen y de destino que TCP necesita interceptar para proteger los hosts o redes de destino internos. Al configurar, los usuarios generalmente necesitan establecer la dirección de origen en cualquiera y especificar una red o host de destino específico. Si no se configura ninguna lista de acceso, el enrutador permitirá que pasen todas las solicitudes.
Uso del control de acceso basado en contenido
El control de acceso basado en contenido (CBAC) es una extensión de la lista de acceso tradicional de Cisco. Filtra de forma inteligente los paquetes TCP y UDP en función de la información de la sesión de la capa de aplicación. para prevenir ataques DoS.
CBAC determina la duración de una sesión y cuándo eliminar una semiconexión estableciendo límites de tiempo de espera y umbrales de sesión. Para TCP, una semiconexión se refiere a una sesión que no ha completado el proceso de protocolo de enlace de tres fases. Para UDP, la semiconectividad significa que el enrutador no puede detectar la sesión para el tráfico de retorno.
Es monitoreando el número y la frecuencia de las semiconexiones que CBAC puede prevenir ataques de inundaciones. Siempre que se establece una media conexión anormal o aparece una gran cantidad de medias conexiones en un corto período de tiempo, el usuario puede determinar que ha sido atacado por una inundación. CBAC detecta el número de medias conexiones existentes y la frecuencia de los intentos de establecer conexiones cada minuto. Cuando el número de medias conexiones existentes excede un umbral, el enrutador eliminará algunas medias conexiones para satisfacer la necesidad de establecer nuevas conexiones, y el enrutador continuará eliminando medias conexiones hasta que la cantidad de medias conexiones existentes caiga por debajo de otra. límite. Del mismo modo, cuando la frecuencia de los intentos de establecer conexiones excede un umbral, el enrutador toma la misma acción descartando algunas solicitudes de conexión y continúa hasta que la cantidad de conexiones solicitadas cae por debajo de otro umbral. A través de este monitoreo y eliminación continuos, CBAC puede prevenir eficazmente los ataques SYNFlood y Fraggle.
Los enrutadores son la primera barrera protectora para las redes internas corporativas y también son un objetivo importante para los ataques de piratas informáticos. Si el enrutador se ve comprometido fácilmente, la seguridad de la red interna de la empresa será imposible, por lo que es muy necesario tomar las medidas adecuadas en el enrutador para evitar varios ataques DoS. Los usuarios deben tener en cuenta que los métodos anteriores tienen diferentes capacidades para hacer frente a diferentes tipos de ataques DoS, y el uso de la CPU y los recursos de memoria del enrutador también es muy diferente. En el entorno real, los usuarios deben elegir el método apropiado según su propia situación y el rendimiento del enrutador.