John Winning`s Blog

一、过滤Bogons网段

bogon网段不会出现在Internet上. 包括下列地址：

• RFC 1918定义的私有地址
• Loopback 口地址(127.0.0.0/8).
• IANA 保留的地址.
• 多播地址 (224.0.0.0/4).
• 学术研究用地址 (240.0.0.0/4).
• DHCP 本地私有地址 (169.254.0.0/16). This is what your PC uses if it cannot find a DHCP server from which to acquire its addressing information. 

这些地址不在互联网上的路由表中出现，黑客经常使用这些地址用来发起DOS攻击，或是IP欺骗等

二、防止TCP SYN洪水攻击

TCP SYN 洪水攻击是DoS攻击的一种，黑客通常用真实地址或者假冒的源地址发送TCP SYN报文到服务器，使服务器挂起所有的TCP请求，耗尽服务器的资源

三、过滤smurf-fraggle攻击

接口上启用广播直播（ip directed-broadcast），可能会引起ICMP的smurf，或者UDP的fraggle攻击

边界路由器到内网的接口开启了ip directed-broadcast，黑客在Internet上假冒内网服务器的源地址200.1.2.1，目标地址为内网的200.1.1.0/24网段，当边界路由器收到请求后，通过广播地址255.255.255.255转发ICMP请求到内网200.1.1.0中，用户收到请求后，通过单播进行相应，发送ICMP回响到服务器200.1.2.1，无疑会增加网络的负担，如果中间有几百个用户，可能会造成服务器无法处理或者网络资源耗尽

你可以使用下面的方法来防止smurf-fraggle攻击：

• Shut down networks with amplifiers.
• 关闭接口的广播直播（接口上no ip directed-broadcast ）
• 在进口或出口上过滤广播直播地址
• 通过CAR启用流量限制，虽然不能防止攻击，但是能够限制ICMP或UDP请求回响消耗的网络带宽
• 使用IP单播反向路径检测（unicast reverse-path forwarding）来防止IP地址欺骗

四、防止简单的扫描攻击

黑客在进行实施攻击之前，一般会通过扫描收集用户的信息，一般简单的扫描是通过基于ICMP消息的ping或者tranceroute进行的，因此我们必须限制哪些ICMP类型能够进入或者离开我们的网络

在边界路由器上关闭不安全和不需要的服务，这里假设路由器有Ethernet0和Ethernet1端口 

Router(config)#  no cdp run//关闭CDP协议，CDP使用多播地址，能够发现对端路由器的Hostname，硬件设备类型，IOS版本，三层接口地址，发送CDP多播的地址

Router(config)#  no service tcp-small-servers
Router(config)#  no service udp-small-servers//关闭TCP和UDP的一些无用的小服务，这些小服务的端口小于19，通常用在以前的UNIX环境中，如chargen，daytime等

Router(config)#  no service finger//finger通常用在UNIX中，用来确定谁登陆到设备上：telnet 192.168.1.254 finger
Router(config)#  no ip finger//关闭对于finger查询的应答
Router(config)#  no ip identd//关闭用户认证服务，一个设备发送一个请求到Ident接口（TCP 113), 目标会回答一个身份识别，如host名称或者设备名称
Router(config)#  no ip source-route//关闭IP源路由，通过源路由，能够在IP包头中指定数据包实际要经过的路径
Router(config)#  no ftp-server enable//关闭FTP服务
Router(config)#  no ip http server//关闭HTTP路由器登陆服务
Router(config)#  no ip http secure-server//关闭HTTPS路由器登陆服务

Router(config)#  no snmp-server community public RO
Router(config)#  no snmp-server community private RW
Router(config)#  no snmp-server enable traps
Router(config)#  no snmp-server system-shutdown
Router(config)#  no snmp-server trap-auth
Router(config)#  no snmp-server//关闭SNMP服务

Router(config)#  no ip domain-lookup//关闭DNS域名查找
Router(config)#  no ip bootp server//bootp服务通常用在无盘站中，为主机申请IP地址
Router(config)#  no service dhcp//关闭DHCP服务
Router(config)#  no service pad//pad服务一般用在X.25网络中为远端站点提供可靠连接
Router(config)#  no boot network//关闭路由器通过TFTP加载IOS启动
Router(config)#  no service config//关闭路由器加载IOS成功后通过TFTP加载配置文件

在申请证书前，必须先配置时间，域名，和hostname，DNS必须配置，也能配置静态DNS映射

Router(config)# clock timezone name offset
Router(config)#exit
Router# clock set hh:mm:ss day month year
Router(config)#hostname router_name
Router(config)#ip domain-name domain_name
Router(config)#ip host CA_server's_name CA_server's_IP_address

生成Public and Private 密钥对

1. routername(config)# crypt key gen rsa.
2. 输入密钥的大小，默认是512

删除路由器上已保存的证书信息，并配置路由器申请新的证书

1. routername(config)#no crypt ca identity CA_server's_name          按Y确认
2. routername(config)# crypt ca identity CA_server's_name   12.2.8(T)以后是crypto ca trustpoint CA_server's_name
3. routername(ca-identity)#primary   指定主要CA服务器，如果你路由器上配置了指定了超过一个CA服务器
4. routername(ca-identity)#enrollment http-proxy  HTTP_server's_name port_#  如果你是通过代理服务器访问CA的话，这里指定代理服务器
5. routername(ca-identity)# enrollment url http://URLHostName/certsrv/mscep/mscep.dll 指定CA服务器的enrollment Web pages (也叫做Certificate Services Web pages)的URL

配置微软CA服务器

CA安装使用注意事项:

1. 操作系统必须是windows2000 server或windows 2003
2. 安装前，系统系统必须先安装IIS服务。– 进入控制面板，进入添加或删除程序，点“添加/删除Windows组件”，弹出组件向导界面，双击“应用程序服务”，进入应用服务程序界面，勾选“Internet 信息服务”点击确定，放入windows2003/windows2000server安装盘，按提示完成IIS安装。
3. 安装前先把计算机加入域中。
4. 在IIS中启用Active Server Pages (ASP)。

Cisco ACS支持dot1x交换机端口认证，通过PPP的Extensible Authentication Protocol over LAN (EAPOL)协议，只允许经过认证的接口的流量通过

一、首先配置ACS服务器端

1.在Interface Configuration下选择RADIUS（IETF）

2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩，启用这三个RADIUS属性

3.进入Group Setup中选择0:Default Group,点击Edit Settings

4.下拉到IETF RADIUS Attributes

5.将前面配置的三个RADIUS属性配置为如图所示，注意，第二个Tag的值要改成0，代表这个Tag不生效

• [064]Tunnel-Type的TAG1的值为“VLAN”
• [065]Tunnel-Medium-Type的TAG1的值为“802”
• [081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

注意：如果Tunnel-Private-Group-ID的值，与交换机上进行认证的接口的VLAN name不相同，那么授权（authorized）将会不成功

UCP（User Cahngeable Passwords）是ACS的一个组件，在一台Web服务器上安装好UCP之后，用户便能通过访问UCP，自行修改ACS数据库里用户的密码，此外为了保证修改的密码在网络上传输的安全性，UCP支持SSL协议，对数据包进行加密

一、在ACS服务器上进行设置

1.在Interface Configuration中选择Advanced Options，在Distributed System Settings选项上打钩

 Miyamoto先生是一位抗震结构专家，在汶川地震发生后立即带领一个结构工程师团队奔赴灾区，调查地震对建筑物造成的破坏。他们是来自国外的第一批考察灾区的工程师。这篇考察笔记完全是按照整个行程的时间顺序进行记录的，也就是原文标题中 chronicle 一词的含义。笔记的内容可以说是难得的第一手资料，我不知道对于专业人士是否有所帮助，但至少能够向大家普及一些有关建筑抗震的知识。

笔记中多次提到垮塌的校舍，这些校舍对孩子们的伤害极大地震撼了作者。从作者的记述来看，这些倒塌的校舍几乎都是砖墙承重、使用预制混凝土楼板的混合结构建筑。这种结构形式的抗震能力如何，我相信只要正经学过结构工程的人都应该有清晰的认识。当年为祸唐山的就是这种类型的房屋，抗震规范中也专门对这种建筑提出了针对性的措施。然而，正如作者在笔记中所写的，同样的悲剧一次又一次地发生。不仅在中国，在世界其他地方也是如此。

从笔记的记述来看，由于采用了这样的结构形式，再加上门窗开口多对结构的削弱，校舍的垮塌有其必然性。当前社会环境下，人们自然而然地联想到“豆腐渣”当然不乏合理性，但更重要的是应该从根源上消除产生这种建筑类型的机会。揪出几头硕鼠当然是聊胜于无的安慰，但是将视野放开、亡羊补牢才是我们更应该全力投入的工作。借用Miyamoto先生的话：“我们必须在世界范围内加固这种危险的建筑，……如果我们这么做了，在此牺牲的 55000多条人命才不会白白付出。”"

CATALYST交换机密码恢复大全

一.基于CatOS的CATALYST 1200,1400,2901,2902,2926T/F,2926GS/L,2948G,2980G,4000,5000,5500,6000与6500密码恢复:

关掉交换机电源,等待片刻再打开.当出现密码提示符后,接下来要做的事情,就是在30秒内完成一些步骤：

1. 回车(相当于输入空密码).
2. 进入enable mode(enable命令别说你不会).
3. 回车,继续玩空密码.
4. 修改密码(set password和set enablepass命令).
5. 回车,相当于输入旧密码(如果在这时候收到提示信息说"sorry password incorrect",抱歉,你动作太慢了,超过30秒了,把上述步骤重新做1次,动作快点).
6. 设置更为安全的密码(set password和set enablepass命令).完工.