1、设置登录失败阻塞期(Blocking Period)
这是一项IOS增强登录命令,可另IOS路由器在指定的时间内收到过多失败的连接尝试后进入静默期(quiet period),而不再接受新的连接。
使用预定义ACL排除在外的主机则不受静默期的影响。
router (config)# login block-for [seconds] attempts [tries] within [seconeds]
·在指定的时间内达到指定的登录失败次数,就会进入静默期。
·必须在其它login命令之前键入该命令
·可缓解DDoS和break-in攻击
router (config)# login block-for 100 attempts 2 within 100
第一个参数seconds标志静默期的时间长短,第二个参数tries表示触发静默期的最大失败登录次数,第三个参数seconds表示在此期间内登录失败的次数达到设定才会触发静默期。
2、静默期的系统日志消息
在路由器转入或转出静默期时,会产生日志消息。同样,如果需要,日志消息也可以在每次成功或失败的登录时产生。
login on-success和login on-failure命令可以在成功或失败的登录时产生日志。
3、从登录阻塞中排除地址
通过login quiet-mode access-class命令可以让处于静默模式的路由器依照ACL允许登录尝试。如果没有配置该命令,在静默期内所有的登录尝试都会被拒绝。
router(config)# login quiet-mode access-class {acl-name | acl-number}
·指定路由器进入静默模式时使用的ACL
·从login block-for命令的登录失败计数中排除特定IP地址
router (config)# login quiet-mode access-class myacl
ACL指定的IP地址会从login block-for命令的登录失败计数中排除。
4、设置登录延迟
Cisco IOS设备默认以尽可能快的速度接受登录连接。login delay命令在连续的登录尝试中间产生延迟。该延迟发生在所有的登录(包括成功和失败)期间。
因此,用户可以使用此特性保护IOS设备免受字典攻击。
router (config)# login delay [seconds]
·配置连续登录尝试中间的延迟
·有助于缓解字典攻击
·即使不配置登录延迟,在配置了login block-for命令后也会有一秒钟的默认延迟