六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器設(shè)置 > cisco思科 > 思科路由器怎么防止DDoS攻擊

思科路由器怎么防止DDoS攻擊

時(shí)間: 權(quán)威724 分享

思科路由器怎么防止DDoS攻擊

  思科依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,那你知道思科路由器怎么防止DDoS攻擊嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器怎么防止DDoS攻擊的相關(guān)資料,供你參考。

  思科路由器防止DDoS攻擊1、使用 ip verfy unicast reverse-path 網(wǎng)絡(luò)接口命令

  這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包。在路由器的CEF(Cisco Express Forwarding)表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中,如果沒(méi)有該數(shù)據(jù)包源IP地址的路由,路由器將丟棄該數(shù)據(jù)包。例如,路由器接收到一個(gè)源IP地址為1.2.3.4的數(shù)據(jù)包,如果CEF路由表中沒(méi)有為IP地址1.2.3.4提供任何路由(即反向數(shù)據(jù)包傳輸時(shí)所需的路由),則路由器會(huì)丟棄它。

  單一地址反向傳輸路徑轉(zhuǎn)發(fā)(Unicast Reverse Path Forwarding)在ISP(局端)實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來(lái)自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF 需要打開(kāi)路由器的"CEF swithing"或"CEF distributed switching"選項(xiàng)。不需要將輸入接口配置為CEF交換(switching)。只要該路由器打開(kāi)了CEF功能,所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換(switching)模式。RPF(反向傳輸路徑轉(zhuǎn)發(fā))屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能,處理路由器接收的數(shù)據(jù)包。

  在路由器上打開(kāi)CEF功能是非常重要的,因?yàn)镽PF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中,但不支持Cisco IOS 11.2或11.3版本。

  思科路由器怎么防止DDoS攻擊2、使用訪問(wèn)控制列表(ACL)過(guò)濾RFC 1918中列出的所有地址

  參考以下例子:

 interface xy 
 ip access-group 101 in 
 access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 

  思科路由器怎么防止DDoS攻擊3、參照RFC 2267,使用訪問(wèn)控制列表(ACL)過(guò)濾進(jìn)出報(bào)文

  參考以下例子:

  {ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網(wǎng)絡(luò)}

  ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信,而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過(guò)濾的通信。以下是ISP端邊界路由器的訪問(wèn)控制列表(ACL)例子:

 access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any access-list 190 deny ip any any [log] interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)} ip access-group 190 in 

  以下是客戶端邊界路由器的ACL例子:

 access-list 187 deny ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any access-list 187 permit ip any any access-list 188 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any access-list 188 deny ip any any interface {外部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)} ip access-group 187 in ip access-group 188 out 

  如果打開(kāi)了CEF功能,通過(guò)使用單一地址反向路徑轉(zhuǎn)發(fā)(Unicast RPF),能夠充分地縮短訪問(wèn)控制列表(ACL)的長(zhǎng)度以提高路由器性能。為了支持Unicast RPF,只需在路由器完全打開(kāi)CEF;打開(kāi)這個(gè)功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。

  思科路由器怎么防止DDoS攻擊4、使用CAR(Control Access Rate)限制ICMP數(shù)據(jù)包流量速率

  參考以下例子:

 interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 

  思科路由器怎么防止DDoS攻擊5、設(shè)置SYN數(shù)據(jù)包流量速率

 interface {int} rate-limit output access-group 153 45000000 100000 100000 conform-action transmit exceed-action drop rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop access-list 152 permit tcp any host eq www access-list 153 permit tcp any host eq www established 

  在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改,替換:

  45000000為最大連接帶寬 1000000為SYN flood流量速率的30%到50%之間的數(shù)值。

  burst normal(正常突變)和 burst max(最大突變)兩個(gè)速率為正確的數(shù)值。

  注意,如果突變速率設(shè)置超過(guò)30%,可能會(huì)丟失許多合法的SYN數(shù)據(jù)包。使用"show interfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過(guò)度速率,能夠幫助確定合適的突變速率。這個(gè)SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。

  警告:一般推薦在網(wǎng)絡(luò)正常工作時(shí)測(cè)量SYN數(shù)據(jù)包流量速率,以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測(cè)量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。

  另外,建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過(guò)濾工具包。

  思科路由器怎么防止DDoS攻擊6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)

  如果可能,捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUN工作站或Linux等高速計(jì)算機(jī)捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等?;菊Z(yǔ)法為:

 tcpdump -i interface -s 1500 -w capture_file 
 snoop -d interface -o capture_file -s 1500 

  本例中假定MTU大小為1500。如果MTU大于1500,則需要修改相應(yīng)參數(shù)。將這些捕獲的數(shù)據(jù)包和日志作為證據(jù)提供給有關(guān)網(wǎng)絡(luò)安全部門或機(jī)構(gòu)。

  看過(guò)文章“思科路由器怎么防止DDoS攻擊”的人還看了:

  1.如何區(qū)分DOS和DDOS

  2.DDOS的攻擊方式

  3.DDos攻擊服務(wù)器是上呢么

  4.如何防御DDOS遭遇攻擊

  5.DDoS攻擊原理的目標(biāo)導(dǎo)向詳解

  6.如何防御DDoS攻擊

  7.如何使用netstat命令查看Linux系統(tǒng)DDOS攻擊

  8.如何設(shè)置DDOS防火墻各項(xiàng)參數(shù)

  9.抵御基于JavaScript的DDoS攻擊的方法

  10.路由器來(lái)控制DDoS攻擊的設(shè)置方法有哪些

560513