A． 可以在網(wǎng)絡(luò)的任何一點(diǎn)進(jìn)行限制，但是最好在網(wǎng)絡(luò)的邊界路由器上進(jìn)行，因為在網(wǎng)絡(luò)內(nèi)部是難于判定地址偽造的 。
B． 最好對接口進(jìn)入的數(shù)據(jù)進(jìn)行訪問控制（用ip access-group list in） 。因為輸出列表過濾只保護(hù)了位于路由器后的網(wǎng)絡(luò)部分，而輸入列表數(shù)據(jù)過濾還保護(hù)了路由器本身不受到外界的攻擊 。
C． 不僅對外部的端口進(jìn)行訪問控制，還要對內(nèi)部的端口進(jìn)行訪問控制 。因為可以防止來自內(nèi)部的攻擊行為 。
下面是一個是一個訪問列表的例子：
ip access-list number deny icmp any any redirect 拒絕所有的Icmp 重定向
ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒絕Loopback的數(shù)據(jù)包
ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒絕多目地址的數(shù)據(jù)包
除了訪問列表的限制外，還可以利用路由器的RPF檢查（ip verify unicast rpf） 。這項功能主要用于檢查進(jìn)入接口的數(shù)據(jù)包的源地址，根據(jù)路由表判定是不是到達(dá)這個源地址的路由是不是也經(jīng)過這個接口轉(zhuǎn)發(fā)，假如不是則拋棄 。這進(jìn)一步保證了數(shù)據(jù)源的正確性 。但是這種方式不適合非對稱的路由，即A到B的路由與B到A的路由不相同 。所以需要判定清楚路由器的具體配置 。
2．控制直接廣播
一個IP直接廣播是一個目的地為某個子網(wǎng)的廣播地址的數(shù)據(jù)包，但是這個發(fā)送主機(jī)的不與這個目的子網(wǎng)直接相連 。所以這個數(shù)據(jù)包被路由器當(dāng)作普通包轉(zhuǎn)發(fā)直到目的子網(wǎng)，然后被轉(zhuǎn)換為鏈路層廣播 。由于Ip地址結(jié)構(gòu)的特性，只有直接連接到這個子網(wǎng)的路由器能夠識別一個直接廣播包 。針對這個功能，目前存在一種攻擊稱為"smurf"，攻擊者通過不斷的發(fā)送一個源地址為非法地址的直接廣播包到攻擊的子網(wǎng) 。從而導(dǎo)致子網(wǎng)的所有主機(jī)向這個非法地址發(fā)送響應(yīng)，最終導(dǎo)致目的網(wǎng)絡(luò)的廣播風(fēng)暴 。
對于這種攻擊可以在路由器的接口上設(shè)置no ip directed-broadcast，但是這種直接廣播包，要被這個接口轉(zhuǎn)換成鏈路層的廣播而不是拋棄，所以為了更好防止攻擊，最好在將所有可能連接到目的子網(wǎng)的路由器都配置no ip directed-broadcast 。
3． 防止路由攻擊
源路由攻擊一種常用攻擊方法，因為一些老的Ip實現(xiàn)在處理源路由包時存在問題，所以可能導(dǎo)致這些機(jī)器崩潰，所以最好在路由器上關(guān)閉源路由 。用命令no ip source-route 。
Icmp 重定向攻擊也是一種常用的路由攻擊方法 。攻擊者通過發(fā)送錯誤的重定向信息給末端主機(jī)，從而導(dǎo)致末端主機(jī)的錯誤路由 。這種攻擊可以通過在邊界路由器上設(shè)定過濾所有icmp重定向數(shù)據(jù)來實現(xiàn) 。但是這只能阻止外部的攻擊者，假如攻擊者和目的主機(jī)在同一個網(wǎng)段則沒有辦法 。
當(dāng)路由器采用動態(tài)協(xié)議時，攻擊者可以偽造路由包，破壞路由器的路由表 。為了防止這種攻擊可以利用訪問列表（distribute-list in）限定正確路由信息的范圍 。并且假如可能則采用認(rèn)證機(jī)制 。如Rip 2或ospf支持認(rèn)證等 。
六. 流量治理
目前大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導(dǎo)致網(wǎng)絡(luò)和設(shè)備過載，這種攻擊也稱為"洪泛攻擊" 。對于這種攻擊的防范首先要明確瓶頸在哪里 。例如：假如攻擊導(dǎo)致線路阻塞，則在線路的源路由節(jié)點(diǎn)進(jìn)行過濾可以有效的防止，但是在線路的目的路由端進(jìn)行過濾，就沒有什么效果 。并且要注重路由器本身也可能成為攻擊的對象，而且這種情況更加糟糕 。對于這種類型攻擊的防范有如下：
1． 網(wǎng)絡(luò)保護(hù)：
利用路由器的Qos功能來分擔(dān)負(fù)載來防止一些洪泛攻擊 。方式有WFQ，CAR，GTS等 。但是要注重的是每種方式的應(yīng)用不同 。如WFQ防止ping 攻擊比SYN攻擊更有效 。所以要正確選擇方式，才能有效的防止攻擊 。

推薦閱讀

• 

  轉(zhuǎn)入+轉(zhuǎn)出 西安公積金轉(zhuǎn)移指南匯總
• 

  山行古詩翻譯及賞析 山行原文翻譯及賞析
• 

  手機(jī)出廠時會有劃痕嗎
• 

  南方的冬天如何取暖
• 

  縮陰產(chǎn)品真的可以變緊致嗎？3個推薦一用就緊！
• 

  天津狗不理包子怎么做 天津狗不理包子的做法
• 

  win7電腦windows安全警報如何關(guān)閉 關(guān)閉安全報警方法說明
• 

  阿飛西蘭花炒蝦仁家常做法?
• 

  高速堵車核酸過期了怎么辦-高速堵車核酸檢測可以延時嗎
• 

  心前區(qū)疼痛最常見的原因是 心前區(qū)疼痛最常見的原因是什么
• 

  iOS11和安卓7哪個好,安卓和ios哪個好
• 

  靨組詞靨的組詞靨字怎么組詞
• 

  貓咪流淚怎么了,導(dǎo)致貓咪流淚的原因有很多
• 

  你們的輸入法都會震動嗎？
• 

  在班會上可以做一些什么小游戲
• 

  5升是多少斤

• 路由器的類型
• 選擇安全路由器的標(biāo)準(zhǔn)
• 連接一個終端到Cisco路由器
• 路由器能否取代防火墻？
• 路由器的安全設(shè)計
• 基本的CISCO路由器安全配置
• 路由器的安全與可靠的問題
• 2505路由器HUB端口的安全性配置
• 在低端路由器上實現(xiàn)雙機(jī)熱備份和EIGRP的路由調(diào)整實例
• Cisco1600和800系列路由器運(yùn)行OSPF的注意事項