路由器[设计]通过路由器绕过DDoS防御攻击web服务器

防御ddos服务器  时间:2021-05-04  阅读:()

通过路由器绕过DDoS防御攻击web服务器

最近一直在学习研究DDOS攻击大家知道所谓DDOS攻击俗称分布式拒绝服务攻击者一般都是通过大量的傀儡主机向目标主机开启的端口发送大量的数据包造成目标主机的数据拥塞资源耗尽最后瘫痪宕机。在笔者测试中发现如果某些服务器在Internet接口处部署了防火墙对端口做了过滤攻击往往很难达到预期的效果。对于这样的网站如何进行攻击测试呢?笔者在测试发现从路由器入手曲径通幽同样可以达到预期效果。下面笔者结合一次安全测试实例解析这种攻击方法。

目标是一个日本站点其网址是http://www.*.co. jp。经过扫描测试发现对方只开启了80端口仅提供Web访问。通过对该WEB服务器的80端口实施DDOS攻击测试效果很不理想。估计对方在外网接口部署了硬件防火墙 W EB服务器通过集群实施了负载均衡 因此攻击效果不明显。安全测试陷入僵局。

在命令行下ping网站的网址有回显显示的IP地址为210.224.*.69TTL为44说不定是类linux服务器。笔者突发奇想该服务器如此牛 Web后面的这家企业的规模一定不小其网络中的主机一定比较多。既然如此应有比较专业的网络设备比如大型的路由器、交换机什么的说不定还是cisco的产品呢(谁让cisco这么牛呢) 。另外既然是大公司一定有他们自己的公网IP段。

基于上面的考虑笔者决定通过IP Network Browser工具对范围为

210.224.*. 1~~~210.224.*.254的IP段进行扫描看是否Cisco路由器或者交换机什么的网络设备。需要说明的是IP Network Browser是SolarWinds网管软件集中的一个工具通过它可以扫描出某个IP段内的网络设备。

于是笔者运行IP Network Browser输入

210.224.*. 1~~~210.224.*.254网段进行扫描扫描的结果不出我所

料 IP地址为210.224.*. 1的设备是一个路由器而且是cisco的通过查看发现Community String的权限是private即完全权限。这里不得不说说 cisco路由器的一个安全漏洞如果是Private权限那就可以通过专门的工具下载下载路由器的配置文件。然后通过查看配置文件可以看到console及其vty的登陆密码有了登陆密码就获得了该路由器的控制权。

利用SolarWinds工具包中的Conf ig Download可以下载路由器的配置文件。在工具中输入该IP地址进行下载很幸运下载成功。然后通过Conf ig Viewer工具查看刚才下载下来的路由器配置文件发现该路由器的特权密码加密了显示为 enable secret 5

$ugRE$xe/UCBrh2uCPYRYfr6nxn1 。这是通过md5加密的破解的希望渺茫。继续往下查看发现其console接口和vty也设置了密码密码没有加密是明文cisco。利用社会工程学说不定该路由器的特权密码也是cisoc呢!

实例通过路由器绕过DDoS防御攻击web服务器(2)

打开命令提示符输入命令telnet 210. 224.*. 1连接路由器成功连接输入vty密码cisco成功进入用户模式。在命令提示符下输入en回车后输入cisco竟然成功进入cisco路由器的特权模式!至此该cisco路由器的被完全控制了。安全期间在路由器中输入命令show user查看是否有其他人登录。结果显示没有其他的登录我们可以进行进一步的安全测试。这里不得不说说管理员的疏忽大意缺乏安全意识。虽然特权密码采用了加密方式但是竟然与console和vty密码一样这样对特权密码加密有什么用呢?另外密码设的比较简单 cisco这是很容易猜出来的。可见网络安全和木桶原理的类似总是从最薄弱的环节中被突破。

既然控制了路由器但是我们还不能确定该路由器就是这家公司的以及它与web服务器的关系。通过在路由器上输入命令show ipinterface brif发现该路由器的几乎所有的servil (串口)接口都处于激活状态而快速以太网接口只有fastEthernet 0/1处于激活状态并且该接口的IP地址为210.224.*. 1子网掩码为

255.255.255.0。因此我们基本可以断定该路由器就是这家公司的该公司的WEb服务器连接到了路由器的fastEthernet 0/1上。同时我们也可以大概地推测出该公司的网络拓扑。应该是Internet后面有个硬件防火墙在防火墙的后面连接了ci sco路由器而WEB服务器就连接在路由器上。通过路由器与外网相连。

既然控制了该公司与外网连接的唯一设备路由器别说一个web服务器该公司的所有的internet都被控制了。于是笔者就以web服务器为例进行了安全测试。在cisco路由器安全模式下输入如下命令cisco#conf igure terminal Enter conf iguration commands, one perline. End with CNTL/Z. cisco(config)#intcisco(config)#interface fastEthernet 0/1cisco(config-if)#access-list 101 deny iphost210.224.*.69anycisco(config)#access-list 101 permit ip any any

上面的cisco命令是定义入站过滤过滤掉所有针对目标地址为

210.224.*.69的网络访问这样就阻止或者隔绝了通过路由器的fastEthernet 0/1对IP地址为210.224.*.69(web服务器)的访问。实例通过路由器绕过DDoS防御攻击web服务器(3)

命令完成后我们在浏览器中输入http://www.*.co. jp访问不出所料网页不能打开。至此我们过路由器曲径通幽终结了该日本站点对其网站的访问中止。cisco(config)#int fastEthernet 0/1 cisco(config)#noaccess-list 101 deny ip host 210.224.*.69 any

删除路由器对210.224.*.69的过滤重新浏览该网站可以访问了至此我们的安全测试结束。

路由器绕过DDoS防御攻击web服务器总结

笔者的这次安全测试只是提供一个思路从技术上分析演示通过路由器绕过DDOS防御体系对web服务器实施攻击。总结这次安全测试从安全的角度我们应该思考的是

1.必须重视路由器的安全比如密码的设置、权限的设置。路由器是网络的灵魂攻击者控制路由器比单纯控制一台服务器更危险危害也更大如果企业的核心路由器被控制那么整个网络将沦陷。因此要为特权模式的进入设置强壮的密码。不要采用enable password设置密码而要采用enable secret命令设置并且要启用Servicepassword-encrypt ion进行加密。

2.合理规划网络拓扑本例中的网络结构就值得商榷。没有特殊需要一般不要给路由器公网IP把它暴露在公网上。控制对VTY的访问如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码由于VTY在网络的传输过程中没有加密所以需要对其进行严格的控制。如设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址实施入站过滤。本例中我们就是通过VTY远程登陆了路由器。

SugarHosts新增Windows云服务器sugarhosts六折无限流量云服务器六折优惠

SugarHosts糖果主机商我们较早的站长们肯定是熟悉的,早年是提供虚拟主机起家的,如今一直还在提供虚拟主机,后来也有增加云服务器、独立服务器等。数据中心涵盖美国、德国、香港等。我们要知道大部分的海外主机商都只提供Linux系统云服务器。今天,糖果主机有新增SugarHosts夏季六折的优惠,以及新品Windows云服务器/云VPS上线。SugarHosts Windows系统云服务器有区分限制...

Virmach$7.2/年,新款月抛vps上线,$3.23/半年,/1核640M内存/10 GB存储/ 1Gbps/1T流量

Virmach自上次推出了短租30天的VPS后,也就是月抛型vps,到期不能续费,直接终止服务。此次又推出为期6个月的月抛VPS,可选圣何塞和水牛城机房,适合短期有需求的用户,有兴趣的可以关注一下。VirMach是一家创办于2014年的美国商家,支持支付宝、PayPal等方式,是一家主营廉价便宜VPS服务器的品牌,隶属于Virtual Machine Solutions LLC旗下!在廉价便宜美国...

Virmach 3.23美元可用6个月的VPS主机

Virmach 商家算是比较久且一直在低价便宜VPS方案中玩的不亦乐乎的商家,有很多同时期的商家纷纷关闭转让,也有的转型到中高端用户。而前一段时间也有分享过一次Virmach商家推出所谓的一次性便宜VPS主机,比如很低的价格半年时间,时间到服务器也就关闭。这不今天又看到商家有提供这样的产品。这次的活动产品包括圣何塞和水牛城两个机房,为期六个月,一次性付费用完将会取消,就这么特别的产品,适合短期玩玩...

防御ddos服务器为你推荐
支持ipadipad如何上网如何用手机流量在IPAD上上网chromeframe谷歌浏览器(Chrome) 与(Chromium) 有什么区别?哪个更快?googleadsence谷歌adsense是被封了么?google分析怎样学会使用谷歌分析? 我自己想往网站分析走。google搜图google的直接搜索图片的功能为什么没了ios5.1.1完美越狱有必要把我的IPAD1从已经越狱的4.2升到5.1.1吗?routeadd如何用route add添加本地路由表,使一个网段的机器能访问另一个网段局域网的机器。望高手指点。微信5.0是哪一年的微信登录验证失败5.0是什么意思Risefusioncharts
虚拟主机试用 sharktech 香港vps99idc 创宇云 cdn联盟 网站木马检测工具 双线主机 网通服务器托管 中国电信宽带测速器 视频服务器是什么 秒杀品 碳云 美国十大啦 带宽测速 ftp是什么东西 paypal兑换 ddos攻击器下载 台式机主机 koss耳机 qq空间论坛 更多