目前,网络上各种病毒和攻击十分猖獗,造成了巨大的损失。正因如此,越来越多的路由器开始具备防火墙功能。对于高端路由器,甚至可以通过命令来设置路由器,减少病毒和攻击带来的损失。
以H3C路由器为例,介绍了如何防范DDOS攻击。
1.使用ip验证单播反向路径检查通过路由器的每个数据包。如果在数据包到达的网络接口的所有路由项中都没有该数据包的源IP地址的路由,则路由器会丢弃该数据包。
单地址反向传输路径转发可以防止SMURF攻击和ISP基于IP地址伪装的其他攻击,可以保护网络和客户免受来自互联网其他部分的入侵。
2.要使用单播RPF,您需要打开路由器的CEF交换选项,并且不需要将输入接口配置为CEF交换。只要路由器开启CEF功能,所有独立的网络接口都可以配置为其他交换模式。
反向传输路径转发是在网络接口或子接口上激活的输入功能,用于处理路由器收到的数据包。
3.使用访问控制列表过滤所有列出的地址。
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
第四,ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络应该只接受源地址没有被客户端网络过滤的通信。
访问列表190允许ip {客户端网络} {客户端网络掩码} any
access-list 190 deny ip any any [log]
接口{内部网络接口} {网络接口号}
ip access-group 190 in
5.如果CEF功能开启,通过使用单地址反向路径转发,可以充分缩短访问控制列表的长度,从而提高路由器性能。为了支持单播RPF,
在路由器上完全打开CEF即可;开启此功能的网络接口不必是CEF交换接口。
6.如果突变率设置超过30%,许多合法的SYN数据包可能会丢失。使用show interfaces rate-limit命令检查网络接口的正常和过度速率有助于确定适当的突变速率。
这个SYN速率限制值的设定标准是在保证正常通信的基础上尽量小。
