物联网网络层路由攻击防护设计方法
1、更新路由器操作系统:路由器操作系统需要经常更新,以便纠正编程错误、软件瑕痕和缓存溢出的问题。
2、修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。
3、禁用HTTP设置和SNMP(简单网络管理协议):路由器的HTTP设置对路由器来说是一个安全问题。如果路由器有一个命令行设置,禁用HTTP方式并且使用命令行设置方式。如果不使用路由器上的SNMP,就不需要启用这个功能。
4、封锁ICMP(互联网控制消息协议)ping请求:ping和其他ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用路由器上启用的ICMP功能找出可用来攻击网络的信息。
5、禁用来自互联网的telnet命令:在大多数情况下,不需要来自互联网接口的主动的 telnet会话。如果从内部访问路由器设置,则会更安全一些。
6、禁用IP定向广播:IP定向广播可能对设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求,这种结果会导致缓存溢出。
7、禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。不需要把精心设计的数据包重新定向到专用的内部网路。
8、包过滤:包过滤仅传递被允许的数据包进入特定网络,许多公司仅允许使用80端口(HTTP)110/25端口(电子邮件)。此外,可以封锁和允许lP地址和范围。
9、审查安全记录:通过审查记录文件,会看到明显的攻击方式,甚至安全漏洞。
10、禁用不必要的服务:路由器、服务器和工作站上的不必要的服务都要禁用。
物联网网络层的阻塞攻击(即网络层拒绝服务攻击)防护设计方法
这种攻击使用伪造地址的攻击节点向目标主机发送大量攻击数据包(如TCP包等),利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表,从而消耗非常多的CPU和内存资源,最终因为堆栈溢出而导致系统崩溃无法为正常用户提供服务。
在遭遇DDoS攻击时,一些用户会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施也会关闭所有应用,从而拒绝为合法用户提供接入。
通过配置路由器过滤不必要的协议可以阻止简单的ping攻击以及无效的IP地址,但是通常不能有效地阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。而防火墙可以阻挡与攻击相关的特定数据流,不过与路由器一样,防火墙不具备反嗅探功能,所以防范手段仍日是被动和不可靠的。目前常见的入侵检测系统(IDS)能够进行异常状况检测,但它不能自动配置,需要技术水平较高的安全专家进行手工调整,因此对新型攻击的反应速度较慢。
探究各种防范措施对DDoS攻击束手无策的原因可知,变幻莫测的攻击来源和层出不穷的攻击手段是症结所在。为了彻底打破这种被动局面,在网络中配置整体联动的安全体系,通过软件与硬件技术结合、深入网络终端的全局防范措施,以加强实施网络安全管理的能力。
首先,在网络中针对所有要求进行网络访问的行为进行统一的注册,没有经过注册的网络访问行为将不被允许访问网络。通过安全策略平台的帮助,管理员可以有效地了解整个网络的运行情况,进而对网络中存在的危及安全行为进行控制。在具体防范DDoS攻击的过程中每一个在网络中发生的访问行为都会被系统检测并判断其合法性,一旦发觉这一行为存在安全威胁,系统将自动调用安全策略,采取直接阻止访问、限制该终端访问网络区域(如避开网络内的核心数据或关键服务区,以及限制访问权限等)和限制该终端享用网络带宽速率的方式,将DDoS攻击发作的危害降到最低。
在终端用户的安全控制方面,对所有进入网络的用户系统安全性进行评估,杜绝网络内终端用户成为DDoS攻击来源的威胁。从用户终端接入网络时,安全客户端会自动检测终端用户的安全状态。一旦检测到用户系统存在安全漏洞(未及时安装补丁等),该用户会从网络正常区域中被隔离开,并自动置于系统修复区域内加以修复,直到完成系统规定的安全策略才能进入正常的网络环境中。这样一来,不仅可以杜绝网络内部各个终端产生安全隐患的威胁,也可使网络内各个终端用户的访问行为得到有效的控制。