ip interface brif，发现该路由器的几乎所有的servil(串口)接口都处于激活状态，而快速以太网接口只有fastEthernet 0/1处于激活状态，并且该接口的IP地址为210.224.*.1，子网掩码为255.255.255.0。因此我们基本可以断定，该路由器就是这家公司的，该公司的WEb服务器连接到了路由器的fastEthernet 0/1上。同时，我们也可以大概地推测出该公司的网络拓扑。应该是Internet后面有个硬件防火墙，在防火墙的后面连接了cisco路由器，而WEB服务器就连接在路由器上。通过路由器与外网相连。(图5)

   

    
    既然控制了该公司与外网连接的唯一设备路由器，别说一个web服务器，该公司的所有的internet都被控制了。于是笔者就以web服务器为例进行了安全测试。在cisco路由器安全模式下输入如下命令：

             cisco#configure terminal
　　Enter configuration commands, one per line. End with CNTL/Z.
　　cisco(config)#int
　　cisco(config)#interface fastEthernet 0/1
　　cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
　　cisco(config)#access-list 101 permit ip any any
    
    上面的cisco命令是定义入站过滤，过滤掉所有针对目标地址为210.224.*.69的网络访问，这样就阻止或者隔绝了通过路由器的fastEthernet 0/1对IP地址为210.224.*.69(web服务器)的访问。(图6)

   

    
    命令完成后我们在浏览器中输入http://www.*.co.jp访问，不出所料网页不能打开。至此我们过路由器曲径通幽，终结了该日本站点对其网站的访问中止。(图7)

   

    
    由于是安全测试，我们恢复网站的访问，在cisco路由器上输入命令　

            cisco(config)#int fastEthernet 0/1
　　cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
    
    删除路由器对210.224.*.69的过滤，重新浏览该网站，可以访问了，至此我们的安全测试结束。(图8)

   

上一页  [1] [2] [3] 下一页

    
    总结：笔者的这次安全测试，只是提供一个思路，从技术上分析演示通过路由器绕过DDOS防御体系，对web服务器实施攻击。总结这次安全测试，从安全的角度，我们应该思考的是：

　　1.必须重视路由器的安全，比如密码的设置、权限的设置。路由器是网络的灵魂，攻击者控制路由器比单纯控制一台服务器更危险，危害也更大，如果企业的核心路由器被控制，那么整个网络将沦陷。因此要为特权模式的进入设置强壮的密码。不要采用enable password设置密码，而要采用enable