网络安全：如何通过配置路由器抵御DoS攻击？.docx

网络安全：如何通过配置路由器抵御DoS攻击？华迪教育/华迪信息/ 　通过路由器的安全配置，我们可以实施某些安全措施，比如使用unicast reverse-path?、设置访问控制类表(ACL)过滤、设置SYN数据包流量速率、升级版本过低的ISO、为路由器建立log server等，这些措施从某种程度上确实可以过滤掉非法流量。一般来说，ACL可以基于协议或源地址进行设置，但是目前众多的DOS攻击采用的是常用的一些合法协议，比如TCP/IP协议、Http协议。这种情况下，路由器就无法对这样的流量进行过滤。同时，如果DOS攻击采用地址欺骗的技术伪造数据包，那么路由器也无法对这种攻击进行有效防范。我们可以通过使用ip verfy unicast reverse-path 网络接口命令，检查每一个经过路由器的数据包。如果在路由器的CEF表中该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包，　例如，路由其接收到源IP地址为1的数据包，如果CEF路由表中没有IP地址为1所提供出任何路由信息，则路由器会丢弃他。　通过使用CAR(Control Access Rate)限制ICMP数据包流量的速率，来防止Smurf攻击。　(config-if)#: interface f0/0　(config-if)#: rate-limit output access-group 2020 3000000 512000 786000 conform-action　(config-if)#: ransmit exceed-action drop　通过设置SYN数据包流量速率来抵御DOS攻击;　(config)#Interface f0/0　(config-if)#rate-limit output access-group 153100000 100000 conform-action　(config-if)#transmit exceed-action drop　(config-if)#rate-limit output access-group 152 1000000 100000 100000 conform-action　(config-if)#transmit exceed-action drop　(config-if)#access-list 152 permit tcp any host eq www　(config-if)#access-list 153 permit tcp any host eq www established　(config-if)#access-list 2020 permit icmp any any echo-reply??　如果突变速率设置超过30%，可能会丢失过多的SYN数据包，建议在服务器或者可能会被攻击的主机上安装IP Filter等IP过滤工具包。　另一种基于路由器的防护策略是采用Unicast?Reverse?Path?Forwarding?(uRPF)在网络边界来阻断伪造源地址IP的攻击，但是对于今天的DOS攻击而言，这种方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DoS攻击，这样就完全可以绕过uRPF防护策略。除此之外，如果希望uRPF策略能够真正的发挥作用，还需要在每个潜在攻击源的前端路由器上配置uRPF;　(config)# ip cef　(config-if)# ip verify unicast reverse-path　配置禁止定向广播;　(config)# no ip directed-broadcast　在绝大部分情况下，是不需要使用路由器的定向广播功能的，会使用定向广播的特例也有，例如，如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己，就必须向这个LAN发送定向广播，但对于这种应用可以通过使用WINS服务器解决。更多信息可以访问华迪IT培训// 或 四川华迪信息//