2022年如何利用路由器做到防止DoS洪水攻击.docx

《2022年如何利用路由器做到防止DoS洪水攻击.docx》由会员分享，可在线阅读，更多相关《2022年如何利用路由器做到防止DoS洪水攻击.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年如何利用路由器做到防止DoS洪水攻击拒绝服务(DoS)攻击是目前黑客广泛运用的一种攻击手段，它通过独占网络资源、使其他主机不 能进行正常访问，从而导致宕机或网络瘫痪。DoS攻击主要分为Smurf、SYN Flood和Fraggle三种，在Smurf攻击中，攻击者运用ICMP数据包堵塞服务器和其他网络资源;SYN Flood攻击运用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似，运用UDP echo恳求而不是ICMP echo恳求发起攻击。尽管网络平安专家都在着力开发阻挡DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路

2、由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有很多防止DoS攻击的特性，爱护路由器自身和内部网络的平安。运用扩展访问列表扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻挡DoS攻击。Show ip access-list吩咐能够显示每个扩展访问列表的匹配数据包，依据数据包的类型，用户就可以确定DoS攻击的种类。假如网络中出现了大量建立TCP连接的恳求，这表明网络受到了SYN Flood攻击，这时用户就可以变更访问列表的配置，阻挡DoS攻击。运用QoS运用服务质量优化(QoS)特征，如加权公允队列(WFQ)、承诺访问速率(

3、CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻挡DoS攻击。须要留意的是，不同的QoS策略应付不同DoS攻击的效果是有差别的。例如，WFQ应付Ping Flood攻击要比防止SYN Flood攻击更有效，这是因为Ping Flood通常会在WFQ中表现为一个单独的传输队列，而SYN Flood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYN Flood攻击。运用QoS防止DoS攻击，须要用户弄清晰QoS以及DoS攻击的原理，这样才能针对DoS攻击的不

4、同类型实行相应的防范措施。运用单一地址逆向转发逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。假如路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址供应任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻挡Smurf攻击和其他基于IP地址伪装的攻击。运用RPF功能须要将路由器设为快速转发模式(CEF switching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺瞒方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的改变

5、;其次RPF所须要的操作维护较少;第三RPF作为一个反欺瞒的工具，对路由器本身产生的性能冲击，要比运用访问列表小得多。运用TCP拦截Cisco在IOS 11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYN Flood攻击内部主机。在TCP连接恳求到达目标主机之前，TCP拦截通过拦截和验证来阻挡这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步恳求，并代表服务器建立与客户机的连接，假如连接胜利，则代表客户机建立与服务器的连接，并将两个连接进行透亮合并。在整个连接期间，路由器会始终拦截和发送数据包。对于非法的连接恳求，路由器供应更为严格的对于h

6、alf-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地视察流经路由器的连接恳求，假如连接超过了所配置的建立时间，路由器就会关闭此连接。在Cisco路由器上开启TCP拦截功能须要两个步骤:一是配置扩展访问列表，以确定须要爱护的IP地址;二是开启TCP拦截。配置访问列表是为了定义须要进行TCP拦截的源地址和目的地址，爱护内部目标主机或网络。在配置时，用户通常须要将源地址设为any，并且指定详细的目标网络或主机。假如不配置访问列表，路由器将会允许全部的恳求经过。运用基于内容的访问限制基于内容的访问限制(CBAC)是对Cisco传统访问列表的扩展，它基于应用层会话信息

7、，智能化地过滤TCP和UDP数据包，防止DoS攻击。CBAC通过设置超时时限值和会话门限值来确定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以推断是遭遇了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值;同样，当试图建立连接的频率超过门限值，路由器就会实行相同的措施，删除一部分连接恳求，并持续到恳求连接的数量低于另一个门限值。通过这种连绵不断的监视和删除，CBAC可以有效防止SYN Flood和Fraggle攻击。路由器是企业内部网络的第一道防护屏障，也是黑客攻击的一个重要目标，假如路由器很简单被攻破，那么企业内部网络的平安也就无从谈起，因此在路由器上实行适当措施，防止各种DoS攻击是特别必要的。用户须要留意的是，以上介绍的几种方法，应付不同类型的DoS攻击的实力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户须要依据自身状况和路由器的性能来选择运用适当的方式。