目前对各种
病毒的攻击和猖獗的
网络不受惩罚,造成了很大的损失,因此越来越多的人开始具有防火墙
功能的
路由器,为高端路由器,但可以通过
命令某些
设置路由器,减少病毒攻击和损失,基于H3C路由器为例,如何防止DDoS攻击。
The use of IP verfy unicast reverse-path, a check after every router packet, the packet routing network interface at all, if not the packet source IP address of the router, the router will discard the packet forwarding address, a single reverse transmission path in ISP to prevent SMURF attacks and other IP. 基于伪装的攻击,可以
保护网络和客户免受来自其他地方的网络骚扰。
二,使用单播RPF打开CEF路由器开关
选项,不需要
输入接口
配置为CEF交换,只要路由器
开启CEF功能,所有
独立的网络接口可配置为其他切换
模式,
传输反向
路径转发属于输入功能是
激活网络接口或子接口。
处理路由器接收的数据包。
三。使用访问
控制列表过滤所有列出的
地址。
接口的XY
IP接入组101
访问列表101否认任何IP 10.0.0.0 0.255.255.255
访问列表101否认任何IP 192.168.0.0 0.0.255.255
访问列表101否认任何IP 172.16.0.0 0.15.255.255
访问列表101允许任何IP
四,ISP终端边界路由器只应接受属于客户端网络的源地址的通信,而客户端网络只应接受源地址未被客户端网络过滤的通信。
访问列表190允许IP客户机网络{ }网络掩码}
访问列表190拒绝任何IP {日志}
接口{内部网络接口}网络接口号}
IP接入组190
五、如果我们打开CEF功能和使用单一地址反向路径转发,我们可以缩短访问控制列表的长度,提高了路由器的
性能。为了
支持单播RPF,只有CEF是路由器完全打开;网络接口,打开这个功能并不需要的CEF切换
界面。
六、如果突变率将超过30%,可能导致许多合法的SYN数据包丢失,查看网络接口的正常率和过度使用
显示接口的速率限制的命令,可以帮助确定合适的突变率,合成限速值设定的标准是保证尽可能小的正常通信的基础。
总的来说,建议在网络正常
工作时测量SYN分组的通信速率,并
调整基准值。测量时要保证网络正常
运行,避免较大误差。