针对路由器的DoS字典攻击可以让攻击者取得Cisco路由器的访问权或者可能导致用户无法使用路由器。在本文中，你可以找到如何使用Cisco 网络操作系统的增强登陆功能来防止这种攻击。

你可能还没有认识到使用针对Telnet、SSH或者HTTP端口的字典式拒绝服务的（DoS）攻击可能成功的攻击你的Cisco路由器。事实上，我敢打赌，即便是大多数网络管理员没有全部打开这些端口，那么他至少也会打开其中一个端口用于路由器的管理。

当然，在公网中开放这些端口要比在私网中开放这些端口危险的多。但是，无论是对公网开放还是对私网开放这些端口，你都需要保护你的路由器防止它们受到字典DoS攻击，通过这种攻击，攻击者可能获得路由器的访问权或者在你的网络中创建一个简单的服务出口。

不过由于在网络操作系统 12.3(4)T以及以后的版本中都有了增强的登陆功能，因此你可以为你的路由器提供额外的保护。这些新的增强的登陆功能提供以下各个方面的优势：

在发现连续登陆尝试后，创建一个登陆延迟。

如果出现太多的登陆尝试失败的话，将不再允许登陆。

在系统日志中创建相应的登陆信息或者发送SNMP陷阱来警告和记录有关失败和不允许登陆的额外信息。

如何知道你的路由器中是否包含这些代码？最简单的查找方法是到"全局配置模式（Global Configuration Mode）并且输入"login（登陆）""，这个命令将返回一个选择列表，具体显示如下：

block-for--用于设置安静模式活动时间周期。

delay--用于设置连续失败登陆的时间间隔。

on-failure--用于设置试图登陆失败后的选项。

on-sucess--用于设置试图登陆成功后的选项。

quiet-mode--用于设置安静模式的选项。

如果你的路由器中的网络操作系统中没有这个代码，它将返回一个"无法识别的命令"错误。

如果你的路由器中没有这个功能，那么使用Cisco 网络操作系统的特征导航来为你的路由器找到这个功能（参照Cisco 网络操作系统增强登陆功能）你还可以使用这个工具来查找你所需要的其他功能。记住，下载网络操作系统代码和访问特征导航工具需要Cisco的维护合同。

用于配置这些功能的最基本的基表的命令是login block-for命令，这也是唯一的命令。一旦你激活了这个命令，其缺省的登陆延迟时间是一秒。在你指定的时间内，如果试图登陆的最大次数超过你所给定的次数的话，系统将拒绝所有的登陆尝试。

在全局配置模式下，执行下面的命令：

login block-for （在多长时间内拒绝所有的登陆尝试）

attempts （如果登陆的次数超过此数）within （在多少秒以内）

下面给出一个例子

login block-for 120 attempts 5 within 60

该命令对系统进行如下配置：如果在60秒以内有五次登陆失败的话，路由器系统将在120秒以内拒绝所有的登陆。如果此时你输入show login的话，你将接收到以下输出信息：

缺省情况下登陆延迟时间是一秒钟。

没有配置安静模式访问列表。

路由器激活了登陆攻击监控程序。

如果在60秒左右的时间内有五次登陆失败的话，

系统将禁用登陆操作120秒。

路由器目前处于正常模式。

目前的监控窗口还有54秒钟。

目前的登陆失败次数为0。

这些信息显示了你的设置，包括缺省的登陆延迟时间为一秒钟，以及其他的附加信息。它还告诉你目前路由器处于正常模式，这意味着路由器目前还允许你登陆。

如果路由器认为有人对其进行攻击，它将进入安静模式，并且开始拒绝所有的登陆操作。你还可以配置一个ACL，在其中说明这个路由器对哪些主机和网络例外，无论是处于安静模式还是处于其他状态，都允许这些主机和网络登陆路由器。

下面是这些命令中用于配置系统的一些选项：

登陆延迟（数字）： 在失效登陆后增加延迟的秒数。你可以选择1到10之间的任何数字。

登陆失败和登陆成功：这些选项允许你选择在登陆成功或者失败时使用的日志和SNMP警告的类型。

登陆安静模式访问类（ACL数字）：增加ACL数字，使用这个选项可以增加一个隔绝列表，无论路由器处于安静模式还是处于正常模式，这个列表中的主机和网络都可以登陆路由器。

通常情况下，为了安全，我建议在所有的路由器上都激活login block-for选项。这些新功能将可以帮助你更好的保证路由器的安全。

如果你正好从事这方面的工作，并且你还没有做好准备的话，那么可以考虑只在路由器上使用SSH并且只允许从内网访问。SSH加密所有从PC到路由器的通信信息（包括用户名和密码）。

名词解释

网络管理

就是通过某种方式对网络状态进行调整，使网络能正常、高效地运行。其目的很明确，就是使网络中的各种资源能够更加高效地利用，当网络出现故障时能及时作出报告和处理，并协调、保持网络的高效运行等。一般而言，网络管理有五大功能，它们是：网络的失效管理、网络的配置管理、网络的性能管理、网络的安全管理、网络的计费管理。而目前网络管理系统主要由四个要素组成：若干被管的代理（Managed Agents）；至少一个网络管理器（Network Manager）；一种公共网络管理协议（Network Management Protocol）；一种或多种管理信息库（MIB,Management Information Base）。其中网络管理协议是最重要的部分，它定义了网络管理器与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。目前有影响的网络管理协议是SNMP（Simple Network Management Protocol）和CMIS/CMIP（the Common Management Information Service/Protocol）。

网管软件

网管软件平台提供网络系统的配置、故障、性能及网络用户分布方面的基本管理，是网管系统的核心。在功能上，网管软件可以归纳为体系结构、核心服务和应用程序三个部分。首先，从基本的框架体系方面，网管软件需要提供一种通用的、开放的、可扩展的框架体系。网管软件既可以是分布式的体系结构，也可以是集中式的体系结构，实际应用中一般采用集中管理子网和分布式管理主网相结合的方式。同时，网管软件是在基于开放标准的框架的基础上设计的，它应该支持现有的协议和技术的升级。而且网管软件还应该能够提供一些核心的服务来满足网络管理的部分要求。核心服务应该包括网络搜索、查错和纠错、支持大量设备、友好操作界面、报告工具、警报通知和处理、配置管理等等。此外，网管软件还有必要加入一些有价值的应用程序，以扩展网管软件的基本功能。常见网管软件中的应用程序主要有：高级警报处理、网络仿真、策略管理和故障标记等。

选择网管产品遵循7标准

以业务为中心

保持以业务为中心是全面网络管理解决方案最重要的因素，其必须根据应用环境、业务流程、用户需求及其所用设备来设计，除了向管理员报告服务器上的流程受阻、路由器上的流量过载或者网络出现瓶颈外，还应该能通过基于策略的网络管理主动采取行动，向有关人员发出警报，以及显示将受影响的业务过程、业务部门甚至个人等。

为应用软件和服务提供环境

网络管理关键的任务是保证网络及其部件能提供应用与用户完成业务流程或交易处理所需的资源，而且还必须根据行业的不同提供不同的服务水平。其必须能向网络管理员提供对其至关重要的管理方式，以及提供有意义的数据查询。

可用性、可扩展性、易用性的结合

可用性和设备状态、可访问性和网络拓扑、性能测量和管理都是当今网络管理的组成部分。性能测量应当融入全面网络管理解决方案并与之紧密配合，而可扩展性也成为用户选择网络管理解决方案的一个重要标准。完整、强大的解决方案必须简单、直观、易于使用和一致，这样才能提高开发的效率。

性能价格比

在保证高性能和带宽，保证安全性的同时，还要保持系统的可访问性和简单性，全面网络管理解决方案必须不仅功能强大，还要效率高，而且成本、开发费用和硬件需求低。

标准支持和协议的独立性

网络管理解决方案应支持现有甚至新兴的标准，将其纳入自己的体系结构。不仅要支持SNMP，还要支持DHCP（动态主机配置协议）和DNS、DMI（桌面管理规范）及CIM（公共信息管理）。此外，还必须支持所有网络协议，应能在各种类型的硬件和操作系统上运行，而不仅仅贴近某个厂商或某种操作系统。

对传统支持

必须支持传统平台。许多企业还依赖这些环境工作，如果没有这些强大的传统平台，企业将遭受巨大损失。传统支持将保证NT、UNIX和主机环境将在以业务为重点的一致、简单的方式下接受管理。

集成性和灵活性

必须能容易、紧密地与某些特殊设备的管理器和工具相集成。它必须能在自己网络环境下启动特殊设备的工具，并提供灵活的与这些工具交换信息的方法。任何网络管理解决方案都必须能适应客户的特殊需求，能适应主要业务的突然变化。网管软件应该能灵活地处理网络流量、事件数量和类型的突增，或者新增的网络资源。