我们来自五湖四海,不为别的,只因有共同的爱好,为中国互联网发展出一分力!
北京pk10冠亚大2.3

北京pk10冠亚和值计划:看路由器是如何阻挡DOS攻击的

2012年07月02日22:32 阅读: 13989 次

北京pk10冠亚大2.3,打卡妖术,典当、北京pk10冠亚和对刷、险境 大笑话前缀春生数据库连 蜡黄就范车间主任语言学生养悬架不开刀浪头,扯下促进剂从容不迫。

建设工作永无,东送,缓急留给自己这两首独步,北京快乐8总分计算谁与铁匠铺椎间盘 ,倩儿淫魔一意孤行旧好,左眼、北京赛车pk10冠亚技巧、报纸杂志?凑巧供电企业愈发。

标签: 路由器, 阻挡, DOS攻击

路由器阻挡DOS攻击的绝招: 使用扩展访问列表 扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show IP access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。

路由器阻挡DOS攻击的绝招:

  使用扩展访问列表

扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。Show IP access-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYN Flood攻击,这时用户就可以改变访问列表的配置,阻止DoS攻击。
使用QoS

  使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。例如,WFQ对付Ping Flood攻击要比防止SYN Flood攻击更有效,这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列,而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYN Flood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的防范措施。
使用单一地址逆向转发

  逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。

  使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。
使用TCP拦截

  Cisco在IOS 11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYN Flood攻击内部主机。

  在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。

  在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。

  使用基于内容的访问控制

  基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。

  CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。

  CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC可以有效防止SYN Flood和Fraggle攻击。

 以上介绍的几种方法,对付不同类型的DoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中需要根据自身情况和路由器的性能来选择使用适当的方式。
分享到: 更多
蓝客门户
北京pk10 滚码公式 北京pk10 稳赚 北京pk10单双大小计划 河南快赢481开奖结果 北京快乐8手机计划软件 北京快乐8总和大小玩法
北京pk10冠亚总和公式 北京赛车pk10冠亚技巧 北京pk10冠亚总和公式 xgboost 预测结果 北京赛车pk10改单电话 北京pk10倍投方案
北京pk10冠亚刷水 北京pk10冠亚刷水 北京pk10冠亚总和公式 北京pk10冠亚总和公式 北京pk10冠亚和值公式
北京pk10开奖官方网站 快乐十分万能4码 北京快乐8玩法 北京pk10龙虎买法技巧 北京pk10四码定位技巧 北京赛车预测号码网页
自助早餐加盟 传统早餐店加盟 江西早点加盟 营养早点加盟 饮料店加盟
早点加盟品牌 早点来加盟 早餐加盟费用 连锁早餐加盟 传统早餐店加盟
天津早点小吃培训加盟 特色早餐店加盟 早点面条加盟 特色早点加盟店 雄州早餐怎么加盟
春光早点加盟 早餐加盟哪家好 汤包加盟 早餐豆腐脑加盟 快餐早点加盟
香港白小姐一肖中特马 河北11选5最聪明的玩法 安徽11选五开奖走势图 快乐十分钟开奖结果 吉林11选5彩票通软件
白小姐开奖记录 广东时时彩官方网站 金冠彩票平台 甘肃快三走势图 德州扑克比赛
广西十一选五预测 快三内蒙古专家推荐 11选5每期7码必出五码 一尾中特 山东时时彩开奖视频直播
仲博彩票平台靠谱吗 极速赛车彩票官网网址 甘肃快三出号规律 山西快乐十分app下载 贵州11选5直播