Cisco路由器上防止分布式拒绝服务(DDoS)***的一些建议
1、使用 ip verfy unicast reverse-path 网络接口命令
  这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源 IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF***和其它基于IP地址伪装的***。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用 Unicast RPF需要打开路由器的\"CEF swithing\"或\"CEF distributed switching\"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
参考以下例子:
interface xy
  ip access-group 101 in
  access-list 101 deny ip 10.0.0.0 0.255.255.255 any
  access-list 101 deny ip 192.168.0.0 0.0.255.255 any
  access-list 101 deny ip 172.16.0.0 0.15.255.255 any
  access-list 101 permit ip any any
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:
{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip {客户端网络} {客户端网络掩码} any
  access-list 190 deny ip any any [log]
interface {内部网络接口} {网络接口号}
  ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip {客户端网络} {客户端网络掩码} any
  access-list 187 permit ip any any
access-list 188 permit ip {客户端网络} {客户端网络掩码} any
  access-list 188 deny ip any any
interface {外部网络接口} {网络接口号}
  ip access-group 187 in
  ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
 4、使用CAR(Control Access Rate)限制ICMP数据包流量速率
参考以下例子:
interface xy
  rate-limit output access-group 2020 3000000 512000 786000 conform-action
  transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
请参阅IOS Essential Features 获取更详细资料。

  5、设置SYN数据包流量速率
  interface {int}
  rate-limit output access-group 153 45000000 100000 100000 conform-action
  transmit exceed-action drop
  rate-limit output access-group 152 1000000 100000 100000 conform-action
  transmit exceed-action drop
access-list 152 permit tcp any host eq www
  access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改,替换:
  45000000为最大连接带宽
  1000000为SYN flood流量速率的30%到50%之间的数值。
  burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用\"show interfaces rate-limit\"命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。
另外,建议考虑在可能成为SYN***的主机上安装IP Filter等IP过滤工具包。
6、搜集证据并联系网络安全部门或机构
  如果可能,捕获***数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。

转载于:https://blog.51cto.com/376369/116221

使用思科路由器防御DDOS相关推荐

  1. 通过路由器绕过DDoS防御攻击web服务器总结

    本文摘要 最近一直在学习研究DDOS攻击,大家知道所谓DDOS攻击俗称分布式拒绝服务,攻击者一般都是通过大量的傀儡主机向目标主机开启的端口发送大量的数据包,造成目标主机的数据拥塞,资源耗尽最后瘫痪宕机 ...

  2. 如何使用虚拟实验室建设思科IPS***防御课程的实验环境

    如何获得专业级***检测设备的实验环境 因为思科专业级***防御传感器非常的昂贵,所以为了学习或者做实验去购置思科的***防御传感器是一件非常不明智的举动,当然很多国外的工程师为了参加CCIE安全类的 ...

  3. 有效防御DDOS的八规则

    防御DDOS攻击是一个整体的系统的工程,不能单单依靠某种系统或产品是难以实现的.不过可以肯定的是,DDOS攻击在目前来看,完全杜绝的可能性几乎为零,但通过适当的措施,抵御大多数的DDOS攻击还是可以做 ...

  4. 常见的防御DDoS攻击的方式有哪些?

    DDoS 是一种耗尽攻击目标的系统资源导致其无法响应正常的服务请求的攻击方式,DDoS 的防护系统,本质上是一个基于资源较量和规则过滤的智能化系统.面对DDoS攻击,常见的防御方式有哪些: 1.采用高 ...

  5. 防御DDoS攻击的十一种方法

    对于遭受DDoS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢. 对于DDoS防御的理解: 对付DDoS ...

  6. 如何使用高防CDN防御DDOS攻击呢?

    众所周知,DDOS攻击是一种恶意的攻击手段,主要以消耗网络带宽的攻击手段.快快网络官网新上线的高防CDN可以高效防御DDOS攻击,那么,如何使用高防CDN防御DDOS攻击呢? 高防CDN的原理就是构建 ...

  7. 有效防御DDOS和APT攻击

    最近科技日报指出,近年来网络攻击频繁盯上民生领域,如电力.交通.水利.能源乃至医疗等关键基础设施. 在很多人看来,网络攻击这件事好像还离我们很远,然而当关系到国计民生的基础设施遭到攻击时,就可能会影响 ...

  8. 死扛无限防御-DDoS/CC流量清洗

    版权声明:本文为搜狐号博主「迷途斑鸠」的原创文章,遵循版权协议,转载请附上原文出处链接及本声明. 原文链接:https://www.sohu.com/a/360656262_100184097 在高防 ...

  9. 【网络攻击与防御】关于防御DDoS攻击的防火墙技术概述

    关于防御DDoS攻击的防火墙技术概述 1.DDoS简介 DDoS是(Distributed Denial of Service)的缩写,即分布式拒绝服务,DDoS攻击是通过大规模互联网流量淹没目标服务 ...

最新文章

  1. 多年密谋「闹独立」,谷歌为何拴不住DeepMind的心?
  2. 对比BF245、2SK30A,2SK160A与2SK241对于150kHz导航信号放大关系
  3. 目前最快的360°全景VR摄影方法
  4. IP中继如何工作?——Vecloud
  5. Git之签署工具GPG的安装和使用
  6. 图灵原版计算机科学系列,图灵原版计算科学系列
  7. Quartz源码总结
  8. Java 设计模式六大原则
  9. cnn输入层_一文掌握CNN卷积神经网络
  10. 谷歌地图地名显示繁体字_Google Earth显示中文地名啦!
  11. Lenovo 320-15IKB DG421 DG521 DG721 NM-B241 REV1.0笔记本点位图
  12. PS分形图、人脸更换、蒙版技巧分享
  13. 【MATLAB】信号与系统 — 抽样函数
  14. 三大主流负载均衡器LVS、Nginx、HAproxy详解
  15. 怎么安装原版win8系统?U盘安装原版win8系统方法
  16. echarts实现中国地图的下钻和返回上一级
  17. 天眼安全设备的初步使用
  18. Java程序员如何不断提高自己的专业技能
  19. log4j实现发送邮件功能
  20. 单片机连接有人云上传数据

热门文章

  1. .net数据根据字段进行分类(linq语句)
  2. js解决异步的方法汇总
  3. SDWebImage的使用及图片不改变问题的解决
  4. 解决Jsp运行org.apache.jasper.JasperException: Unable to compile class for JSP:问题
  5. HTTP请求状态码404相关问题解决
  6. 关于Unsupported major.minor version 52.0报错问题解决方案
  7. jquery Syntax error, unrecognized expression:的解决方法
  8. 多行字符串,带有多余的空格(保留缩进)
  9. 什么!在CSS中的重要意义? [重复]
  10. 如何获取cURL以不显示进度栏?