當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

路由器CAR限速策略防范DoS攻擊

http://m.yibo1263.com　2009-3-7 11:14:50 　來源:東北IT網(wǎng) 　編輯:葉子

　　Input　output:確定需要限制輸入或輸出的流量。如果在以太網(wǎng)端口配置，則該流量為output；如果在serial端口配置，則該流量為input。

　　access-group number: number是前面用access list定義流量的access list號(hào)碼。

　　bps:用戶希望該流量的速率上限，單位是bps。

　　burst-normal burst-max：這個(gè)是指token bucket的大小，一般采用8000、16000、32000這些值，視bps值的大小而定。

　　conform-action：在速率限制以下的流量的處理策略。

　　exceed-action:超過速率限制的流量的處理策略。

　　action:處理策略，包括以下幾種：

　　◆ transmit:傳輸。

　　◆ drop:丟棄。

　　◆ set precedence and transmit:修改IP前綴然后傳輸。

　　◆ set QoS group and transmit:將該流量劃入一個(gè)QoS group內(nèi)傳輸。

　　◆ continue:不動(dòng)作，看下一條rate-limit命令中有無流量匹配和處理策略，如無，則transmit。

　　◆ set precedence and continue:修改IP前綴然后continue。

　　◆ set QoS group and continue:劃入QoS group然后continue。

　　具體應(yīng)用

　　CAR限制某種流量的速率之外，還可以用來抵擋DoS型攻擊，諸如Smurf攻擊使得網(wǎng)絡(luò)上充斥著大量帶有非法源地址的ICMP，占用網(wǎng)絡(luò)的資源。我們可以通過在路由器上對ICMP包通過配置CAR來設(shè)置速率上限的方法來保護(hù)網(wǎng)絡(luò)（如圖3所示）。

　　

　　圖3

　　客戶端邊界路由器上的配置：

　　interface s0 rate-limit input access-group 200 3000000 80000 80000

　　conform-action transmit exceed-action drop

　　這里我們把icmp包的流量定義在3Mbps，token bucket的大小為8000字節(jié)。

　　access-list 200 permit icmp any any echo-reply

　　這樣一旦受到Smurf攻擊時(shí)，在一定程度上我們可以限制ICMP包的轉(zhuǎn)發(fā)速率和大小，減少對網(wǎng)絡(luò)和主機(jī)造成的破壞。

　　為了更好地運(yùn)用CAR限速策略，我們需要弄清楚DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型采取相應(yīng)的防范措施。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·路由器ATM接口ping自己測試環(huán)路

·兩臺(tái)路由器之間建立鄰接關(guān)系的過程

·路由器密碼忘記五步暴力破解

·思科路由器常用配置命令大全

·從路由器入手改善網(wǎng)絡(luò)的安全性

·企業(yè)如何克服多功能路由器的效能瓶頸？

·俠諾路由器新增炒股與視頻雙封鎖

·家庭實(shí)用首選斐訊FR606無線路由器評測

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·用橋接解決網(wǎng)絡(luò)路由器的IP配置參數(shù)

·為路由器減負(fù)：關(guān)閉不需要的服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费