【IT168 专稿】正如环境变化导致全球气候的变幻莫测一样，企业网络安全威胁也日益纷繁与复杂。在这复杂的暗流中，Dos攻击路由器成为主流，对现在而言，进行DoS攻击的防御还是比较困难的。不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DoS并不是绝对不可行的事情。企业网络的使用者是各种各样的，时时刻刻与DoS做斗争，不同的角色使用不同的方式来防范。

    分析
    我们知道路由器是通向企业的门户，成为黑客的目标已经有了一段时间，现在的黑客似乎变得更加精明。他们往往会这样，当发现锁定的目标前门被锁上后，就会改而寻找漏洞的大门是否敞开。路由器攻击之所以吸引黑客有几个原因：不同于计算机系统，路由器通常处于企业的基础设施内部，与计算机相比，它们受监视器和安全政策的保护相对薄弱，为不法之徒提供了为非作歹的躲藏之处。如果路由器配置不当，厂商提供的默认口令或则使用过于简单密码，很容易进入企业内部网络。一旦受到危害，路由器就可以被用作扫描行动、欺骗连接的各个平台，并作为发动dos攻击的一块跳板，来实现黑客网络攻击的意图。　　

    那么应该如何采取适当的策略来抵御DOS攻击呢? 尽管网络安全专家都在着力开发如何阻止DoS攻击的设备，但效果都不太理想，因为DoS攻击利用了TCP协议本身的弱点。我们可以利用正确配置企业级路由器，再用其它相关的工具进行检测，方能有效防止DoS攻击。现在我们以华为3COM路由器为例，华为3COM路由器中的已经具有许多防止DoS攻击的特性，来保护路由器自身和企业内部网络的安全。

    根据检测建立访问列表
    扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。Show access-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求，这表明网络受到了SYN Flood攻击，这样就可以改变访问列表的配置，来有效阻止DoS攻击。如图一

TCP连接图

    使用TCP拦截
    华为3COM路由器引入了TCP拦截功能，这项功能可以有效防止SYN Flood攻击内部主机。在TCP连接数请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。

    在华为3COM路由器上开启TCP拦截功能需要两个步骤：一是配置扩展访问列表，以确定需要保护的IP地址；二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或网络。在配置时，用户通常需要将源地址设为any，并且指定具体的目标网络或主机。如果不配置访问列表，路由器将会允许所有的请求经过，这样拦截如同虚设。

    使用单一地址逆向转发
    逆向转发是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为222.99.1.11的数据包，但是路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止攻击和其他基于IP地址伪装的攻击。使用逆向转发功能需要将路由器设为快速转发模式，并且不能将启用逆向转发功能的接口配置为CEF交换。逆向转发在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化；第二逆向转发所需要的操作维护较少；第三逆向转发作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。

    基于内容的访问控制
    通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。基于内容的访问控制正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。基于内容的访问控制每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值；同样，当试图建立连接的频率超过门限值，路由器就会采取相同的措施，删除一部分连接请求，并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除，基于内容的访问控制可以有效防止SYN Flood和Fraggle攻击。
 
    总结：路由器是企业内部网络的第一道防护屏障，也是黑客攻击的一个重要目标，如果路由器很容易被攻破，那么企业内部网络的安全也就无从谈起，因此在路由器上采取适当措施，防止各种DoS攻击是非常必要的。密切关注事态发展，并肩负起保护网络各方面安全的责任，这样才能够避免灾难。及早发现系统存在的攻击漏洞、及时安装系统补丁程序，以及不断提升网络安全策略，都是防范DoS攻击的有效办法。