如何实现Cisco路由器(2600)上的流量检测

mazuca 2000-07-05 02:27:00
那位高手知道从2600Cisco路由器上接收的UDP数据包格式
具体来说,我接收的UDP数据包的数据内容是IP地址,如何知道
数据内容中有多少IP地址,以及它们在数据包的第几位。
...全文
168 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
mazuca 2000-10-19
  • 打赏
  • 举报
 回复
moyixin 2000-07-22
  • 打赏
  • 举报
 回复
你可以用snmp来实现流量监测
Python利用SNMP读取交换机端口信息及状态
Python利用SNMP读取交换机端口信息及状态,通过路由器和交换机上启用SNMP协议,Python环境下安装net-snmp-python包实现
网络设备安全配置规范.docx
网络设备安全配置规范全文共19页,当前为第1页。网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范 CISCO路由器及基于CISCO IOS 的三层交换模块部分 网络设备安全配置规范全文共19页,当前为第2页。网络设备安全配置规范全文共19页,当前为第2页。目录 网络设备安全配置规范全文共19页,当前为第2页。 网络设备安全配置规范全文共19页,当前为第2页。 第一部分 设备的安全机制 8 1 访问控制 8 2 数据加密 8 3 日志问题 8 4 防攻击能力 9 第二部分 设备安全配置建议 10 1 访问控制列表及其管理 10 1.1 访问控制列表特性 10 1.2 访问控制列表应用 10 1.3 实施原则 12 3 网管及认证问题 22 3.1 远程登录 22 3.1.1 远程登录的原则 22 3.1.2 启用SSH服务 22 3.1.3 登录空闲时间 23 3.1.4 登录尝试次数 24 3.1.5 并发登录个数 24 3.1.6 采用访问列表严格控制访问的地址 24 3.2 帐号和密码管理 25 3.3 帐号认证和授权 26 3.3.1 本机认证和授权 26 3.3.2 AAA认证 26 3.3.3 RADIUS认证方式 26 3.3.4 TACACS+认证方式 27 网络设备安全配置规范全文共19页,当前为第3页。网络设备安全配置规范全文共19页,当前为第3页。第一部分 设备的安全机制 网络设备安全配置规范全文共19页,当前为第3页。 网络设备安全配置规范全文共19页,当前为第3页。 该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。 访问控制 Cisco设备具有强大的访问控制能力,具体如下: 可以实现对远程登录并发个数和空闲时长的限制; 支持使用SSH代替Telnet,并提供ACL对用户登陆进行严格控制; 支持AAA认证和授权; 支持snmp管理认证、限制TRAP主机,修改TRAP端口等; 路由协议的认证支持RIP、OSPF和BGP MD5认证,同时也支持密码明文认证; 数据加密 CISCO设备的数据加密能力主要有: 支持SSH替代Telnet,可以在网络中传递加密的用户名和密码; 对于enable密码,使用加密的enable secret,并且密码可以通过service password-encryption命令,进行密码加密; 提供Cisco加密技术(CET); IPSec技术实现数据传输的加密技术。 网络设备安全配置规范全文共19页,当前为第4页。网络设备安全配置规范全文共19页,当前为第4页。日志问题 网络设备安全配置规范全文共19页,当前为第4页。 网络设备安全配置规范全文共19页,当前为第4页。 Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给SERVER长期保存,对SERVER的地址可以进行严格控制。 防攻击能力 Cisco设备的防攻击能力主要体现如下: 可以通过对Q0S技术的配置,起到自身的防护的能力,它支持排队技术、CAR和GTS等; 结合强大的ACL命令,用于自身以及网络的防攻击,支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表,从而保证了强大的防攻击能力; 支持黑洞路由; 支持源路由检查。 对QOS属性的说明如下:Cisco设备通过配置QOS属性具有一定的自动攻击检测和防范机制。如排队技术、CAR、GTS,都通过对网络流量控制,在一定程度上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序,定义报文从接口发送的顺序,从而控制路由器接口的拥塞。这样我们可以对已经明确的安网络设备安全配置规范全文共19页,当前为第5页。网络设备安全配置规范全文共19页,当前为第5页。全流量设置高优先级,让这些流量优先通过,而丢弃低优先级流量,在一定程度上丢弃了一些攻击包;CAR是Committed Access Rate的简写,意思是:承诺访问速率,允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR软件确保只有指定数量的流量被发送或接收,而其他的流量会被丢弃。流量整形技术GTS,与CAR技术相似,都是通过定义参数来对流量分类,并按这些分类来管理流量。区别在于整形试图缓冲流量,并尽
思科路由器搭建终极实战
思科路由器搭建终极实战
Modeling Traffic Management on a Cisco Router:Modeling Traffic Management on a Cisco Router-matlab开发
使用 Simlink 块我尝试对 Cisco 路由器上使用的以下配置进行建模,以进行流量管理 ========================================== 策略映射 COS-OUT-S1/0.1 DSCP-OUT-D1 级带宽百分比 50 基于 dscp 的随机检测随机检测 dscp 26 39 117 20 随机检测 dscp 28 19 38 20 服务策略 COS-OUT-D1-S1/0.1 DSCP-OUT-D2 级带宽百分比 25 基于 dscp 的随机检测随机检测 dscp 18 61 122 20 随机检测 dscp 20 34 68 20 服务策略 COS-OUT-D2-S1/0.1 DSCP-OUT-D3级带宽百分比 25 基于 dscp 的随机检测随机检测 dscp 10 78 156 20 随机检测 dscp 12 51 102 20 服务策
网络安全加固.doc
网络安全加固技术分析 发表时间:2009-4-29 童永清 余望 来源:万方数据 关键字:网络安全 加固 技术 信息化调查找茬投稿收藏评论好文推荐打印社区分享 各种安全防范措施就好比是一块块木板,这些木板集成在一起构成一个木桶,这个木桶 中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于两 点:一是最矮木板的高度,二是各块木板之间是否存在缝隙。为了使木桶中的水能承载 得更多、更持久,我们需要对木桶进行安全加固,一方面提高最矮木板的高度,一方面 消除木板间的缝隙。以下从网络边界、服务器、内网等几个方面介绍网络安全加固的一 些原则和措施。 目前,企业和机构的网络面临着各种安全威胁,如黑客攻击、恶意软件、信息泄露、拒 绝服务、内部破坏。相应地,我们采取了.许多防范措施,如安装防火墙和杀毒软件、 进行信息加密和访问控制、采用扫描技术和入侵检测技术。各种网络安全防御措施不是 孤立的,而是作为一个整体为一个网络提供安全保障。各种安全防范措施就好比是一块 块木板,这些木板集成在一起构成一个木桶,这个木桶中承载着的水就好比网络中运行 的各种业务。 各种业务能否安全、稳定地运转取决于两点:一是最矮木板的高度,二是各块木板之间 是否存在缝隙。为了使木桶中的水能承载得更多、更持久,我们需要对木桶进行安全加 固,一方面提高最矮木板的高度,一方面消除木板间的缝隙。以下从网络边界、服务器 、内网等几个方面介绍网络安全加固的一些原则和措施。 1 网络边界安全加固 路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的安全缺 陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐 患,主要表现为远程溢出漏洞和默认开放的服务。除了及时F载补丁修复漏洞外,路由器 操作系统默认开放的许多服务通常存任着安全风险,加固的方法是根据最小特权原则关 闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如 RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到 恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(Cisc oDiscovery Protocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能 因发生故障或受到恶意攻击而停机,为此需要进行备份。 加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)。ACL(Acc ess Control List)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进 出网络。定制访问控制表通常应遵守这样的原则:流量如果不被明确允许,就应该被拒 绝。假设某组织的网络通过一个Cisco路由器连入互联网,下面为该组织定制一个ACL: 首先拒绝所有向内传输而源地址是内部IP的流量,以防止利用内部地址进行IP欺骗: deny ip 192.168.1.0/24 any 接着允许向内传输的已建立TCP连接的流量进入内网,确保正常通信: 路由器通过包过滤提供了一定的防护措施,但它不能根据状态对流过的数据包进行检查 。基于状态的防火墙可以满是这一要求,但其本身存在一些不足和缺陷,如防火墙不能 防范不经由它的攻击、不能解决来自内部的攻击、不能防止利用服务器漏涧进行的攻击 、不能阻止病毒和蠕虫文件的传输。为此,通过合理建设网络,制定并执行安全规定, 确保所有流入和流出的流量都经过边界防火墙。同时,边界防火墙需要与其他防护措施 协同工作,如通过强化内网特别是服务器的安全来减少安全威胁,提供日志等信息给入 侵检测系统以帮助其检测攻击行为。 边界防火墙通常放置在边界路由器和交换机之间,是网络边界的重要组成部分。与路由 器一样,其策略配置非常关键。由于各组织机构网络和业务需求的不同,防火墙的配置 策略也有较大的差别。对于防火墙的安全配置,可以遵循以下几项原则:(1)区别流入和 流出流量,分别制定策略;(2)只有开放服务所需要的端口才开放,其他端口一律关闭; (3)频繁执行的策略放置在前,较少执行的策略放置在后,以此提高过滤效率;(4)根据 病毒警告临时性地关闭某些端口;(5)若业务需要启用防火墙的DMZ(非军事化区)功能, 将服务器放置在DMZ中。 2 服务器安全加固 网络中各种服务器,如Web服务器、FTP服务器、E—mail服务器,是黑客攻击的重点目标 ,其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了安全 性。但黑客还可以利用服务器的漏洞或配置错误进行攻击,以图获取系统控制权或实现 拒绝服务。 这里以IIS Web服务器为例介绍Web服务器的一些加固措施。微软的IIS由于其功能强大、简单易用, 是当前Windows平台上最常用的We
通信技术

4,356

社区成员

28,926

社区内容

发帖
与我相关
我的任务
社区描述
通信技术相关讨论
社区管理员
  • 网络通信
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章