當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

Cisco路由器上如何防止DDoS攻擊

http://m.yibo1263.com　2009-4-14 7:59:21 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　1、使用 ip verfy unicast reverse-path 網(wǎng)絡(luò)接口命令

　　這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒(méi)有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源IP地址為1.2.3.4的數(shù)據(jù)包，如果CEF路由表中沒(méi)有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。

　　單一地址反向傳輸路徑轉(zhuǎn)發(fā)（Unicast Reverse Path Forwarding）在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來(lái)自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開(kāi)路由器的"CEF swithing"或"CEF distributed switching"選項(xiàng)。不需要將輸入接口配置為CEF交換（switching）。只要該路由器打開(kāi)了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換（switching）模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

　　在路由器上打開(kāi)CEF功能是非常重要的，因?yàn)镽PF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

　　2、使用訪問(wèn)控制列表（ACL）過(guò)濾RFC 1918中列出的所有地址

　　參考以下例子：

　　interface xy

　　ip access-group 101 in

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any

　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any

　　access-list 101 deny ip 172.16.0.0 0.15.255.255 any

　　access-list 101 permit ip any any

　　3、參照RFC 2267，使用訪問(wèn)控制列表（ACL）過(guò)濾進(jìn)出報(bào)文

　　參考以下例子：

　　-- ISP端邊界路由器 -- 客戶端邊界路由器 --

　　ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過(guò)濾的通信。以下是ISP端邊界路由器的訪問(wèn)控制列表（ACL）例子：

　　access-list 190 permit ip any

　　access-list 190 deny ip any any [log]

　　interface

　　ip access-group 190 in

　　以下是客戶端邊界路由器的ACL例子：

　　access-list 187 deny ip any

　　access-list 187 permit ip any any

　　access-list 188 permit ip any

　　access-list 188 deny ip any any

　　interface

　　ip access-group 187 in

　　ip access-group 188 out

　　如果打開(kāi)了CEF功能，通過(guò)使用單一地址反向路徑轉(zhuǎn)發(fā)（Unicast RPF），能夠充分地縮短訪問(wèn)控制列表（ACL）的長(zhǎng)度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開(kāi)CEF；打開(kāi)這個(gè)功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。

　　1、使用 ip verfy unicast reverse-path 網(wǎng)絡(luò)接口命令

　　這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒(méi)有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源IP地址為1.2.3.4的數(shù)據(jù)包，如果CEF路由表中沒(méi)有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。

　　單一地址反向傳輸路徑轉(zhuǎn)發(fā)（Unicast Reverse Path Forwarding）在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來(lái)自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF需要打開(kāi)路由器的"CEF swithing"或"CEF distributed switching"選項(xiàng)。不需要將輸入接口配置為CEF交換（switching）。只要該路由器打開(kāi)了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換（switching）模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

　　在路由器上打開(kāi)CEF功能是非常重要的，因?yàn)镽PF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·設(shè)置cisco路由器通過(guò)ADSL上網(wǎng)

·詳解Cisco路由器輔助端口設(shè)置問(wèn)題

·使用Cisco路由器配置實(shí)現(xiàn)VoIP

·快速完成Cisco路由器安裝與維護(hù)

·手把手教你配置cisco路由器

·教你查看Cisco路由器的配置信息

·Cisco路由器IOS的備份和恢復(fù)

·CISCO路由器代理上網(wǎng)的主要類型

·深入解讀CISCO路由器的啟動(dòng)過(guò)程

·CISCO路由器代理上網(wǎng)的主要類型

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费