日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Cisco路由器上如何防止DDoS攻擊

1、使用ip verfy unicast reverse-path 網(wǎng)絡接口命令

網(wǎng)站建設、成都做網(wǎng)站的關注點不是能為您做些什么網(wǎng)站,而是怎么做網(wǎng)站,有沒有做好網(wǎng)站,給創(chuàng)新互聯(lián)建站一個展示的機會來證明自己,這并不會花費您太多時間,或許會給您帶來新的靈感和驚喜。面向用戶友好,注重用戶體驗,一切以用戶為中心。

這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF(Cisco Express Forwarding)表該數(shù)據(jù)包所到達網(wǎng)絡接口的所有路由項中,如果沒有該數(shù)據(jù)包源IP地址的路由,路由器將丟棄該數(shù)據(jù)包。

例如,路由器接收到一個源IP地址為1.2.3.4的數(shù)據(jù)包,如果CEF路由表中沒有為IP地址1.2.3.4提供任何路由(即反向數(shù)據(jù)包傳輸時所需的路由),則路由器會丟棄它。

單一地址反向傳輸路徑轉發(fā)(Unicast Reverse Path Forwarding)在ISP(局端)實現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護網(wǎng)絡和客戶免受來自互聯(lián)網(wǎng)其它地方的侵擾。使用Unicast RPF需要打開路由器的"CEF swithing"或"CEF distributed switching"選項。不需要將輸入接口配置為CEF交換(switching)。

只要該路由器打開了CEF功能,所有獨立的網(wǎng)絡接口都可以配置為其它交換(switching)模式。RPF(反向傳輸路徑轉發(fā))屬于在一個網(wǎng)絡接口或子接口上激活的輸入端功能,處理路由器接收的數(shù)據(jù)包。

在路由器上打開CEF功能是非常重要的,因為RPF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。

2、使用訪問控制列表(ACL)過濾RFC 1918中列出的所有地址

參考以下例子:

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

3、參照RFC 2267,使用訪問控制列表(ACL)過濾進出報文

參考以下例子:

-- ISP端邊界路由器 -- 客戶端邊界路由器 --

ISP端邊界路由器應該只接受源地址屬于客戶端網(wǎng)絡的通信,而客戶端網(wǎng)絡則應該只接受源地址未被客戶端網(wǎng)絡過濾的通信。以下是ISP端邊界路由器的訪問控制列表(ACL)例子:

access-list 190 permit ip any

access-list 190 deny ip any any [log]

interface

ip access-group 190 in

以下是客戶端邊界路由器的ACL例子:

access-list 187 deny ip any

access-list 187 permit ip any any

access-list 188 permit ip any

access-list 188 deny ip any any

interface

ip access-group 187 in

ip access-group 188 out

如果打開了CEF功能,通過使用單一地址反向路徑轉發(fā)(Unicast RPF),能夠充分地縮短訪問控制列表(ACL)的長度以提高路由器性能。為了支持Unicast RPF,只需在路由器完全打開CEF;打開這個功能的網(wǎng)絡接口并不需要是CEF交換接口。#p#

4、使用CAR(Control Access Rate)限制ICMP數(shù)據(jù)包流量速率

參考以下例子:

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

5、設置SYN數(shù)據(jù)包流量速率

interface

rate-limit output access-group 153 45000000 100000 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-action

transmit exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established

在實現(xiàn)應用中需要進行必要的修改,

替換:

45000000為最大連接帶寬

1000000為SYN flood流量速率的30%到50%之間的數(shù)值。

burst normal(正常突變)和 burst max(最大突變)兩個速率為正確的數(shù)值。

注意,如果突變速率設置超過30%,可能會丟失許多合法的SYN數(shù)據(jù)包。使用"show interfaces rate-limit"命令查看該網(wǎng)絡接口的正常和過度速率,能夠幫助確定合適的突變速率。這個SYN速率限制數(shù)值設置標準是保證正常通信的基礎上盡可能地小。

警告:一般推薦在網(wǎng)絡正常工作時測量SYN數(shù)據(jù)包流量速率,以此基準數(shù)值加以調(diào)整。必須在進行測量時確保網(wǎng)絡的正常工作以避免出現(xiàn)較大誤差。

另外,建議考慮在可能成為SYN攻擊的主機上安裝IP Filter等IP過濾工具包。

6、搜集證據(jù)并聯(lián)系網(wǎng)絡安全部門或機構

如果可能,捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUN工作站或Linux等高速計算機捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等。基本語法為:

tcpdump -i interface -s 1500 -w capture_file

snoop -d interface -o capture_file -s 1500

本例中假定MTU大小為1500。如果MTU大于1500,則需要修改相應參數(shù)。將這些捕獲的數(shù)據(jù)包和日志作為證據(jù)提供給有關網(wǎng)絡安全部門或機構。

【相關推薦】

  1. 使用Cisco IOS路由器實現(xiàn)網(wǎng)頁內(nèi)容過濾
  2. Cisco 2600 系列訪問路由器
  3. 思科推出Cisco SN5428存儲路由器

本文名稱:Cisco路由器上如何防止DDoS攻擊
URL分享:http://www.5511xx.com/article/djogjjj.html