acl配置第三步如何驗證
⑴ 如何修改文件的許可權
現在越來越多的用戶使用NTFS文件系統來增強Windows系統的安全性。通常是在圖形用戶界面(GUI)的「安全」選項卡中對文件或目錄訪問控制許可權進行設置。還有一種設置方式大家可能很少使用,這就是Cacls命令。 雖然它是一個基於命令行的命令,使用起來有點繁瑣,但只要你合理利用,也會在提高系統安全性方面起到很好的效果。Cacls命令使用格式如下: Cacls filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] Filename——顯示訪問控制列表(以下簡稱ACL); /T——更改當前目錄及其所有子目錄中指定文件的 ACL; /E—— 編輯 ACL 而不替換; /C——在出現拒絕訪問錯誤時繼續; /G user:perm——賦予指定用戶訪問許可權。Perm 可以是R(讀取)、W(寫入)、C(更改,寫入)、F (完全控制); /R user——撤銷指定用戶的訪問許可權(僅在與 /E 一起使用); /P user:perm——替換指定用戶的訪問許可權; /D user——拒絕指定用戶的訪問。 1.查看目錄和ACL 以Windows XP系統為例,筆者使用Cacls命令查看E盤CCE目錄訪問控制許可權。點擊「開始→運行」,在運行對話框中輸入「CMD」命令,彈出命令提示符對話框,在「E:\>」提示符下輸入「Cacls CCE」命令,接著就會列出Windows XP系統中用戶組和用戶對CCE目錄的訪問控制許可權項目。如果想查看CCE目錄中所有文件訪問控制許可權,輸入「Cacls cce\ . 」命令即可。 2.修改目錄和ACL 設置用戶訪問許可權:我們經常要修改目錄和文件的訪問許可權,使用Cacls命令就很容易做到。下面要賦予本機用戶Chenfeng對E盤下CCE目錄及其所有子目錄中的文件有完全控制許可權。在命令提示符對話框中輸入「Cacls CCE /t /e /c /g Chenfeng:f 」命令即可。 替換用戶訪問許可權:將本機用戶Chenfeng的完全控制許可權替換為只讀許可權。在命令提示符對話框中輸入「 Cacls CCE /t /e /c /p Chenfeng:r 」命令即可。 撤銷用戶訪問許可權:要想撤銷本機用戶Chenfeng對該目錄的完全控制許可權也很容易,在命令提示符中運行「Cacls CCE /t /e /c /r Chenfeng 」即可。 拒絕用戶訪問:要想拒絕用戶Chenfeng訪問CCE目錄及其所有子目錄中的文件,運行「Cacls CCE /t /e /c /d Chenfeng」即可。 以上只是簡單介紹Cacls命令的使用,建議大家親自嘗試一下,你會發現它還有很多奇妙的功能。 1
⑵ 怎麼樣防止IP被DDOS攻擊
--- 致力於中國網站安全信息領域
DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務,而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務的意思。
不過這3中攻擊方法最厲害的還是DDoS,那個DRDoS攻擊雖然是新近出的一種攻擊方法,但它只是DDoS攻擊的變形,它的唯一不同就是不用佔領大量的「肉雞」。這三種方法都是利用TCP三次握手的漏洞進行攻擊的,所以對它們的防禦辦法都是差不多的。
DoS攻擊是最早出現的,它的攻擊方法說白了就是單挑,是比誰的機器性能好、速度快。但是現在的科技飛速發展,一般的網站主機都有十幾台主機,而且各個主機的處理能力、內存大小和網路速度都有飛速的發展,有的網路帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什麼作用了,搞不好自己的機子就會死掉。舉個這樣的攻擊例子,假如你的機器每秒能夠發送10個攻擊用的數據包,而被你攻擊的機器(性能、網路帶寬都是頂尖的)每秒能夠接受並處理100攻擊數據包,那樣的話,你的攻擊就什麼用處都沒有了,而且非常有死機的可能。要知道,你若是發送這種1Vs1的攻擊,你的機器的CPU佔用率是90%以上的,你的機器要是配置不夠高的話,那你就死定了。
圖-01 DoS攻擊
不過,科技在發展,黑客的技術也在發展。正所謂道高一尺,魔高一仗。經過無數次當機,黑客們終於又找到一種新的DoS攻擊方法,這就是DDoS攻擊。它的原理說白了就是群毆,用好多的機器對目標機器一起發動DoS攻擊,但這不是很多黑客一起參與的,這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器,他是通過他的機器在網路上佔領很多的「肉雞」,並且控制這些「肉雞」來發動DDoS攻擊,要不然怎麼叫做分布式呢。還是剛才的那個例子,你的機器每秒能發送10攻擊數據包,而被攻擊的機器每秒能夠接受100的數據包,這樣你的攻擊肯定不會起作用,而你再用10台或更多的機器來對被攻擊目標的機器進行攻擊的話,嘿嘿!結果我就不說了。
DRDoS分布反射式拒絕服務攻擊這是DDoS攻擊的變形,它與DDoS的不同之處就是DrDoS不需要在攻擊之前佔領大量的「肉雞」。它的攻擊原理和Smurf攻擊原理相近,不過DRDoS是可以在廣域網上進行的,而Smurf攻擊是在區域網進行的。它的作用原理是基於廣播地址與回應請求的。一台計算機向另一台計算機發送一些特殊的數據包如ping請求時,會接到它的回應;如果向本網路的廣播地址發送請求包,實際上會到達網路上所有的計算機,這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的,每處理一個就要佔用一份系統資源,如果同時接到網路上所有計算機的回應,接收方的系統是有可能吃不消的,就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己,不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播地址發送請求包,所有的計算機得到請求後,卻不會把回應發到黑客那裡,而是發到被攻擊主機。這是因為黑客冒充了被攻擊主機。黑客發送請求包所用的軟體是可以偽造源地址的,接到偽造數據包的主機會根據源地址把回應發出去,這當然就是被攻擊主機的地址。黑客同時還會把發送請求包的時間間隔減小,這樣在短時間能發出大量的請求包,使被攻擊主機接到從被欺騙計算機那裡傳來的洪水般的回應,就像遭到了DDoS攻擊導致系統崩潰。駭客藉助了網路中所有計算機來攻擊受害者,而不需要事先去佔領這些被欺騙的主機,這就是Smurf攻擊。而DRDoS攻擊正是這個原理,黑客同樣利用特殊的發包工具,首先把偽造了源地址的SYN連接請求包發送到那些被欺騙的計算機上,根據TCP三次握手的規則,這些計算機會向源IP發出SYN+ACK或RST包來響應這個請求。同Smurf攻擊一樣,黑客所發送的請求包的源IP地址是被攻擊主機的地址,這樣受欺騙的主機就都會把回應發到被攻擊主機處,造成被攻擊主機忙於處理這些回應而癱瘓。
圖-03 DRDoS分布反射式拒絕服務攻擊
解釋:
SYN:(Synchronize sequence numbers)用來建立連接,在連接請求中,SYN=1,ACK=0,連接響應時,SYN=1,ACK=1。即,SYN和ACK來區分Connection Request和Connection Accepted。
RST:(Reset the connection)用於復位因某種原因引起出現的錯誤連接,也用來拒絕非法數據和請求。如果接收到RST位時候,通常發生了某些錯誤。
ACK:(Acknowledgment field significant)置1時表示確認號(Acknowledgment Number)為合法,為0的時候表示數據段不包含確認信息,確認號被忽略。
TCP三次握手:
圖-04 TCP三次握手
假設我們要准備建立連接,伺服器正處於正常的接聽狀態。
第一步:我們也就是客戶端發送一個帶SYN位的請求,向伺服器表示需要連接,假設請求包的序列號為10,那麼則為:SYN=10,ACK=0,然後等待伺服器的回應。
第二步:伺服器接收到這樣的請求包後,查看是否在接聽的是指定的埠,如果不是就發送RST=1回應,拒絕建立連接。如果接收請求包,那麼伺服器發送確認回應,SYN為伺服器的一個內碼,假設為100,ACK位則是客戶端的請求序號加1,本例中發送的數據是:SYN=100,ACK=11,用這樣的數據回應給我們。向我們表示,伺服器連接已經准備好了,等待我們的確認。這時我們接收到回應後,分析得到的信息,准備發送確認連接信號到伺服器。
第三步:我們發送確認建立連接的信息給伺服器。確認信息的SYN位是伺服器發送的ACK位,ACK位是伺服器發送的SYN位加1。即:SYN=11,ACK=101。
這樣我們的連接就建立起來了。
DDoS究竟如何攻擊?目前最流行也是最好用的攻擊方法就是使用SYN-Flood進行攻擊,SYN-Flood也就是SYN洪水攻擊。SYN-Flood不會完成TCP三次握手的第三步,也就是不發送確認連接的信息給伺服器。這樣,伺服器無法完成第三次握手,但伺服器不會立即放棄,伺服器會不停的重試並等待一定的時間後放棄這個未完成的連接,這段時間叫做SYN timeout,這段時間大約30秒-2分鍾左右。若是一個用戶在連接時出現問題導致伺服器的一個線程等待1分鍾並不是什麼大不了的問題,但是若有人用特殊的軟體大量模擬這種情況,那後果就可想而知了。一個伺服器若是處理這些大量的半連接信息而消耗大量的系統資源和網路帶寬,這樣伺服器就不會再有空餘去處理普通用戶的正常請求(因為客戶的正常請求比率很小)。這樣這個伺服器就無法工作了,這種攻擊就叫做:SYN-Flood攻擊。
到目前為止,進行DDoS攻擊的防禦還是比較困難的。首先,這種攻擊的特點是它利用了TCP/IP協議的漏洞,除非你不用TCP/IP,才有可能完全抵禦住DDoS攻擊。不過這不等於我們就沒有辦法阻擋DDoS攻擊,我們可以盡力來減少DDoS的攻擊。下面就是一些防禦方法:
1。確保伺服器的系統文件是最新的版本,並及時更新系統補丁。
2。關閉不必要的服務。
3。限制同時打開的SYN半連接數目。
4。縮短SYN半連接的time out 時間。
5。正確設置防火牆
禁止對主機的非開放服務的訪問
限制特定IP地址的訪問
啟用防火牆的防DDoS的屬性
嚴格限制對外開放的伺服器的向外訪問
運行埠映射程序禍埠掃描程序,要認真檢查特權埠和非特權埠。
6。認真檢查網路設備和主機/伺服器系統的日誌。只要日誌出現漏洞或是時間變更,那這台機器就可 能遭到了攻擊。
7。限制在防火牆外與網路文件共享。這樣會給黑客截取系統文件的機會,主機的信息暴露給黑客, 無疑是給了對方入侵的機會。
8。路由器
以Cisco路由器為例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
訪問控制列表(ACL)過濾
設置SYN數據包流量速率
升級版本過低的ISO
為路由器建立log server
能夠了解DDoS攻擊的原理,對我們防禦的措施在加以改進,我們就可以擋住一部分的DDoS攻擊,知己知彼,百戰不殆嘛。
⑶ 思科1841路由器最簡單的上網配置
第一步,配置內網的ip地址
第二步,配置外網的IP地址
第三步,配置一個ACL 包含容許上網的IP網段
第四步,配置NAT,把ACL翻譯到外網埠,並使用超載。
HXrouter#show run
Building configuration...
Current configuration : 1503 bytes
!
! Last configuration change at 07:41:21 UTC Sat Mar 21 2015 by hailong
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname HXrouter
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip cef
!
no ip domain lookup
no ipv6 cef
ipv6 multicast rpf use-bgp
!
multilink bundle-name authenticated
!
username hailong privilege 15 password 0 hailong
username cisco privilege 15 password 0 cisco
!
tEthernet0/1
no ip address
media-type rj45
speed auto
plex auto
negotiation auto
!
interface GigabitEthernet0/2
description *CNC1*
ip address 220.33.76.19 255.255.255.248
ip nat outside
media-type rj45
speed auto
plex auto
negotiation auto
!
interface GigabitEthernet0/3
ip address 10.10.2.1 255.255.255.0
ip nat inside
media-type rj45
speed auto
plex auto
negotiation auto
!
ip nat inside source list nat interface GigabitEthernet0/2 overload
ip nat inside source static tcp 192.168.2.104 9080220.33.76.199080 extendable
ip forward-protocol nd
ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0220.33.76.17
ip route 192.168.0.0 255.255.0.0 10.10.2.254
!
ip access-list extended nat
permit ip any any
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login local
!
!
end