DDOS是英文Distributed Denial of Service的縮寫(xiě)，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)(Denial of Service)呢?可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問(wèn)，從而達(dá)成攻擊者不可告人的目的。路由器ddos攻擊怎么防御?常見(jiàn)電腦黑客攻擊類型與預(yù)防方法是什么?一起和佰佰安全網(wǎng)看看吧。

1.路由器被DDoS攻擊可以參照RFC 2267，使用訪問(wèn)控制列表(ACL)過(guò)濾進(jìn)出報(bào)文參考以下例子：{ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網(wǎng)絡(luò)}ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過(guò)濾的通信。以下是ISP端邊界路由器的訪問(wèn)控制列表(ACL)例子：access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} anyaccess-list 190 deny ip any any [log]interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}ip access-group 190 in。

以下是客戶端邊界路由器的ACL例子：access-list 187 deny ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} anyaccess-list 187 permit ip any anyaccess-list 188 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} anyaccess-list 188 deny ip any anyinterface {外部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}ip access-group 187 inip access-group 188 out。

如果打開(kāi)了CEF功能，通過(guò)使用單一地址反向路徑轉(zhuǎn)發(fā)(Unicast RPF)，能夠充分地縮短訪問(wèn)控制列表(ACL)的長(zhǎng)度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開(kāi)CEF;打開(kāi)這個(gè)功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。

2、設(shè)置SYN數(shù)據(jù)包流量速率interface {int}rate-limit output access-group 153 45000000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000 conform-actiontransmit exceed-action dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established，在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換：45000000為最大連接帶寬1000000為SYN flood流量速率的30%到50%之間的數(shù)值。burst normal(正常突變)和 burst max(最大突變)兩個(gè)速率為正確的數(shù)值。

注意，如果突變速率設(shè)置超過(guò)30%，可能會(huì)丟失許多合法的SYN數(shù)據(jù)包。使用"show interfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過(guò)度速率，能夠幫助確定合適的突變速率。這個(gè)SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。警告：一般推薦在網(wǎng)絡(luò)正常工作時(shí)測(cè)量SYN數(shù)據(jù)包流量速率，以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測(cè)量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。另外，建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過(guò)濾工具包。

以上是關(guān)于路由器的設(shè)置方法，生活中學(xué)習(xí)基本的網(wǎng)絡(luò)安全小知識(shí)很重要。

責(zé)任編輯:慕丹萍