華為路由器關閉協議的方法

  在某些特定的網路環境中,我們可以通過關閉某部分不需要的協議來防禦病毒攻擊,增加網路安全,下面小編就以華為路由器為例給大家介紹這部分的內容,歡迎大家參考和學習。

  關閉協議的方法:

  一、TCP建立連線的三次握手過程中,一方向另一方傳送的第一個報文設定了SYN位,當某臺裝置接收到一個請求服務的初始報文時,該裝置響應這個報文,發回一個設定了SYN和ACK位的報文,並等待源端來的ACK應答。

  二、如果傳送方並不回覆ACK,主機就會因為超時而結束連線。當主機在等待這個連線超時的過程中,連線處於半開狀態,半開連線消耗了主機的資源。在等待三次握手過程中耗盡主機資源就形成了SYN攻擊,尤其是將成千上萬的SYN發往某臺主機,則該主機將很快崩潰掉。

  三、在TCP連線請求到達目標主機之前,TCP攔截通過對其進行攔截和驗證來阻止這種攻擊,也就是說,路由器會代替主機進行連線,這時我就需要在路由器上配置TCP攔截來防止這種攻擊了。

  四、TCP攔截可以在兩種模式上工作:攔截和監視,在攔截模式下,路由器攔截所有到達的TCP同步請求,並代表伺服器建立與客戶機的連線,並代表客戶機建立與伺服器的連線。如果兩個連線都成功地實現,路由器就會將兩個連線進行透明的合併,路由器有更為嚴格的超時限制,以防止其自身的資源被SYN攻擊耗盡,在監視模式下,路由器被動地觀察half-open連線的數目。

  五、當一個路由器因為其所定義的門限值被超出而確認伺服器正遭受攻擊時,路由器就主動刪除連線,直到half-open的連線值降到小於門限值,有兩個因素用來判斷路由器是否正在遭受攻擊,如果超過了兩個高門限值中的一個,則表明路由器正遭受攻擊,直到門限值已經降至兩個低門限值以下。

  六、half-open連線總數與每分鐘half-open連線的數量比率是相聯絡的。任何一個最大值到達,TCP攔截就被啟用並且開始刪除half-open連線,一旦TCP攔截被啟用,這兩個值都必須下降到TCP攔截的低設定值,以便停止刪除連線。

  最後說一下,攔截模式下,路由器響應到達的SYN請求,並代替伺服器傳送一個響應初始源IP地址的SYN、ACK報文,然後等待客戶機的ACK,如果收到ACK,再將原來的SYN報文發往伺服器,路由器代替原來的客戶機與伺服器一起完成三次握手過程。