正如環(huán)境變化導(dǎo)致全球氣候的變幻莫測一樣，企業(yè)網(wǎng)絡(luò)安全威脅也日益紛繁與復(fù)雜。在這復(fù)雜的暗流中，DdoS攻擊路由器成為主流，對現(xiàn)在而言，進行DdoS攻擊的防御還是比較困難的。不過即使它難于防范，也不是說我們就應(yīng)該逆來順受，實際上防止DdoS并不是絕對不可行的事情。企業(yè)網(wǎng)絡(luò)的使用者是各種各樣的，時時刻刻與DdoS做斗爭，不同的角色使用不同的方式來防范。路由器設(shè)置防dDdoS攻擊嗎?常見電腦黑客攻擊類型與預(yù)防方法是什么，一起和佰佰安全網(wǎng)看看吧。

那么應(yīng)該如何采取適當?shù)牟呗詠淼钟鵇doS攻擊呢? 盡管網(wǎng)絡(luò)安全專家都在著力開發(fā)如何阻止DdoS攻擊的設(shè)備，但效果都不太理想，因為DdoS攻擊利用了TCP協(xié)議本身的弱點。我們可以利用正確配置企業(yè)級路由器，再用其它相關(guān)的工具進行檢測，方能有效防止DdoS攻擊?，F(xiàn)在我們以華為3COM路由器為例，華為3COM路由器中的已經(jīng)具有許多防止DdoS攻擊的特性，來保護路由器自身和企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

根據(jù)檢測建立訪問列表

擴展訪問列表是防止DdoS攻擊的有效工具。它既可以用來探測DdoS攻擊的類型，也可以阻止DdoS攻擊。Show access-list命令能夠顯示每個擴展訪問列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DdoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請求，這表明網(wǎng)絡(luò)受到了SYN Flood攻擊，這樣就可以改變訪問列表的配置，來有效阻止DdoS攻擊。

使用單一地址逆向轉(zhuǎn)發(fā)

逆向轉(zhuǎn)發(fā)是路由器的一個輸入功能，該功能用來檢查路由器接口所接收的每一個數(shù)據(jù)包。如果路由器接收到一個源IP地址為222.99.1.11的數(shù)據(jù)包，但是路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止攻擊和其他基于IP地址偽裝的攻擊。使用逆向轉(zhuǎn)發(fā)功能需要將路由器設(shè)為快速轉(zhuǎn)發(fā)模式，并且不能將啟用逆向轉(zhuǎn)發(fā)功能的接口配置為CEF交換。逆向轉(zhuǎn)發(fā)在防止IP地址欺騙方面比訪問列表具有優(yōu)勢，首先它能動態(tài)地接受動態(tài)和靜態(tài)路由表中的變化;第二逆向轉(zhuǎn)發(fā)所需要的操作維護較少;第三逆向轉(zhuǎn)發(fā)作為一個反欺騙的工具，對路由器本身產(chǎn)生的性能沖擊，要比使用訪問列表小得多。

以上是設(shè)置路由器的方法，學習更多的網(wǎng)絡(luò)安全小知識請關(guān)注佰佰安全網(wǎng)。

責任編輯:慕丹萍