目前网络上各种病毒和攻击横行,毫无顾忌,损失巨大。为此,越来越多的路由器配备了防火墙功能。对于高端路由器,更可以通过命令来设置路由器,减少病毒和攻击带来的损失。本文以H3C路由器为例介绍如何防范DDOS攻击。
1.使用ip验证单播反向路径来检查通过路由器的每个数据包。在数据包到达网络接口的所有路由项中,如果没有到数据包源IP地址的路由,路由器将丢弃该数据包。在ISP中实现单地址反向传输路径转发,防止SMURF攻击和其他基于IP地址伪装的攻击,可以保护网络和客户免受来自互联网其他部分的入侵。
第二,要使用单播RPF,需要打开路由器的CEF交换选项,不需要将输入接口配置为CEF交换。只要路由器开启CEF功能,所有独立的网络接口都可以配置为其他交换模式。反向传输路径转发属于在一个网络接口或子接口上激活的输入功能,处理路由器收到的数据包。
第三,使用访问控制列表过滤所有列出的地址。
界面xy
ip访问-组101 in
访问列表101拒绝ip 10.0.0.0 0.255.255.255 any
访问列表101拒绝ip 192.168.0.0 0.0.255.255 any
访问列表101拒绝ip 172.16.0.0 0.15.255.255 any
访问列表101允许ip any any
4.ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络应该只接受源地址没有被客户端网络过滤的通信。
访问列表190允许ip {客户端网络} {客户端网络掩码} any
访问列表190拒绝ip any any [log]
接口{内部网络接口} {网络接口号}
ip访问-组190 in
5.如果打开CEF功能,通过使用单地址反向路径转发,可以充分缩短访问控制列表的长度,从而提高路由器性能。为了支持单播RPF,只需要在路由器中全开CEF即可;打开此功能的网络接口不必是CEF交换接口。
不及物动词如果突变率设置为30%以上,许多合法的SYN数据包可能会丢失。使用show interfaces rate-limit命令检查该网络接口的正常和过度速率有助于确定适当的突变速率。这个SYN速率限制值的设定标准是在保证正常通信的基础上尽量小。
最后,一般情况下,建议测量网络正常工作时的SYN包流量,并以此基准值进行调整。测量过程中需要保证网络的正常运行,避免出现较大误差。
