【Cisco路由器防止分布式拒絕服務(wù)攻擊】 到目前為止，進行DDoS攻擊的防御還是比較困難的 。首先，這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊 。一位資深的安全專家給了個形象的比喻：DDoS就好象有1,000個人同時給你家里打電話，這時候你的朋友還打得進來嗎？
不過即使它難于防范，也不是說我們就應(yīng)該逆來順受，實際上防止DDoS并不是絕對不可行的事情 。對Cisco路由器我們可以首先在路由器上打開CEF功能（Cisco EXPress Forwarding）、使用Unicast RPF （Unicast Reverse Path Forwarding），然后利用訪問控制列表（ACL）過濾并設(shè)置SYN數(shù)據(jù)包流量速率或通過升級版本過低的ISO、為路由器建立log server等措施來建立安全防范 。具體的使用方法是：
1、使用 ip verfy unicast reverse-path 網(wǎng)絡(luò)接口命令
這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包 。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達網(wǎng)絡(luò)接口的所有路由項中，假如沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包 。例如，路由器接收到一個源IP地址為1.2.3.4的數(shù)據(jù)包，假如 CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時所需的路由），則路由器會丟棄它 。
單一地址反向傳輸路徑轉(zhuǎn)發(fā)（Unicast Reverse Path Forwarding）在ISP（局端）實現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊 。這能夠保護網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵擾 。使用Unicast RPF 需要打開路由器的"CEF swithing"或"CEF distributed switching"選項 。不需要將輸入接口配置為CEF交換（switching） 。只要該路由器打開了CEF功能，所有獨立的網(wǎng)絡(luò)接口都可以配置為其它交換（switching）模式 。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包 。
在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF 。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中，但不支持Cisco IOS 11.2或11.3版本 。
2、使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址
參考以下例子：
interface xy
ip Access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3、參照RFC 2267，使用訪問控制列表（ACL）過濾進出報文
參考以下例子：
{ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網(wǎng)絡(luò)}
ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信 。以下是ISP端邊界路由器的訪問控制列表（ACL）例子：
access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
access-list 190 deny ip any any [log]
interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號}
ip access-group 190 in
以下是客戶端邊界路由器的ACL例子：
access-list 187 deny ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
access-list 187 permit ip any any
access-list 188 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
access-list 188 deny ip any any
interface {外部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號}
ip access-group 187 in
ip access-group 188 out
假如打開了CEF功能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能 。為了支持Unicast RPF，只需在路由器完全打開CEF；打開這個功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口 。
4、使用CAR（Control Access Rate）限制ICMP數(shù)據(jù)包流量速率

推薦閱讀

• 

  冰箱凍死螃蟹能吃嗎 冰箱凍死螃蟹是否有毒呢
• 

  簡易計稅方法是什么
• 

  谷連天醬肉包餡的做法?
• 

  個人開支付寶發(fā)票能開生產(chǎn)嗎
• 

  月餅有些什么餡的常見的
• 

  如何轉(zhuǎn)發(fā)微信語音聊天
• 

  白柚子吃著苦是怎么回事
• 

  oppofindx3錄屏聲音在哪設(shè)置
• 

  開通快手小黃車需要多少錢開通 開通快手小黃車需要多少錢
• 

  王者榮耀怎么獲取體驗卡，如何獲取王者榮耀體驗卡
• 

  頷聯(lián)是第幾句
• 

  吸塵器冒煙的原因及解決方法
• 

  鬼泣4怎么設(shè)置中文
• 

  皇圖手游怎么往幫派倉庫捐獻裝備,《皇圖》手游新版本來襲
• 

  創(chuàng)造與魔法暗黑霸王龍刷新時間
• 

  萬級實驗室的意思

• Cisco路由器上用軟件配置pppoe撥號
• 當接入路由器做NAT時如何做限速
• 如何在CISCO路由器上禁止BT下載
• Cisco IOS 網(wǎng)際操作系統(tǒng)
• 第三代POS接入產(chǎn)品－POS接入路由器
• Cisco IOS 框架
• 路由器基本維護-SNMP網(wǎng)管的配置
• 路由器基本維護-如何查看CPU的占用率
• 如何備份cisco路由器配置文件
• 路由器基本維護-如何清除進入cosole配置口的密碼