綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|論壇轉帖|廠商大全

綠色資源網(wǎng)

技術教程
您的位置:首頁系統(tǒng)集成網(wǎng)絡安全 → 以H3C路由器為例介紹如何防止DDOS攻擊

以H3C路由器為例介紹如何防止DDOS攻擊

我要評論 2012/11/05 14:30:14 來源:綠色資源網(wǎng) 編輯:m.sonlywya.cn [ ] 評論:0 點擊:915次

目前網(wǎng)絡上各種各樣的病毒和攻擊肆虐,毫無顧忌,造成了很大的損失,為此越來越多的路由器都開始帶有防火墻功能,對于高端路由器,更是可以通過命令對路由器進行一定的設置,以減少病毒和攻擊帶來的損失,本文以H3C路由器為例,介紹如何防止DDOS攻擊。

一、使用ip verfy unicast reverse-path檢查每一個經(jīng)過路由器的數(shù)據(jù)包,該數(shù)據(jù)包所到達網(wǎng)絡接口的所有路由項中,如果沒有該數(shù)據(jù)包源IP地址的路由,路由器將丟棄該數(shù)據(jù)包,單一地址反向傳輸路徑轉發(fā)在ISP實現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊,這能夠保護網(wǎng)絡和客戶免受來自互聯(lián)網(wǎng)其它地方的侵擾。

二、使用Unicast RPF 需要打開路由器的CEF swithing選項,不需要將輸入接口配置為CEF交換,只要該路由器打開了CEF功能,所有獨立的網(wǎng)絡接口都可以配置為其它交換模式,反向傳輸路徑轉發(fā)屬于在一個網(wǎng)絡接口或子接口上激活的輸入端功能,處理路由器接收的數(shù)據(jù)包。

三、使用訪問控制列表過濾列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四、ISP端邊界路由器應該只接受源地址屬于客戶端網(wǎng)絡的通信,而客戶端網(wǎng)絡則應該只接受源地址未被客戶端網(wǎng)絡過濾的通信。

access-list 190 permit ip {客戶端網(wǎng)絡} {客戶端網(wǎng)絡掩碼} any

access-list 190 deny ip any any [log]

interface {內部網(wǎng)絡接口} {網(wǎng)絡接口號}

ip access-group 190 in

五、如果打開了CEF功能,通過使用單一地址反向路徑轉發(fā),能夠充分地縮短訪問控制列表的長度以提高路由器性能。為了支持Unicast RPF,只需在路由器完全打開CEF;打開這個功能的網(wǎng)絡接口并不需要是CEF交換接口。

六、如果突變速率設置超過30%,可能會丟失許多合法的SYN數(shù)據(jù)包,使用show interfaces rate-limit命令查看該網(wǎng)絡接口的正常和過度速率,能夠幫助確定合適的突變速率,這個SYN速率限制數(shù)值設置標準是保證正常通信的基礎上盡可能地小。

最后要說一下,一般情況下推薦在網(wǎng)絡正常工作時測量SYN數(shù)據(jù)包流量速率,以此基準數(shù)值加以調整,必須在進行測量時確保網(wǎng)絡的正常工作以避免出現(xiàn)較大誤差。

關鍵詞:H3C路由器,DDOS攻擊

閱讀本文后您有什么感想? 已有 人給出評價!

  • 1 歡迎喜歡
  • 1 白癡
  • 1 拜托
  • 2 哇
  • 1 加油
  • 1 鄙視